#标签

RCE漏洞，全称是漏洞，翻译成中文就是远程代码执行漏洞。顾名思义，这是一种安全漏洞，允许攻击者在受害者的系统上远程执行任意代码。

摘要：本文解析了一个利用eval函数执行系统命令的CTF题目。通过分析eval($_REQUEST[...])的多层嵌套参数传递，详细说明了如何依次通过Cookie、POST、GET等超全局变量构造payload。解题过程包括：1)设置Cookie；2)通过POST传递变量名；3)通过GET传递数组索引；4)最终传入system命令执行ls/查看目录；5)使用cat命令读取flag文件。该案例展示了PHP中eval函数的安全风险以及多层参数传递的利用方法。

但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还上传了非法字符。在tornado模板中，存在一些可以访问的快速对象,这里用到的是handler.settings，handler指向RequestHandler，而RequestHandler.settings又指向self.application.settings，所以handler.settings就指向RequestHandler.application.settings了，这里面就是我们的一些环境变量。从而导致任意文件读取。

1.佛曰编码2.rot13编码3.base64编码。

这道题用到了很多知识点，包括AspectJWeaver反序列化、MySQLJDBC反序列化和SQLiteSSRF等，总体来说有些难度，也是参考了很多资料，建议深入学习这些知识点，尤其是JDBC方面的漏洞和Java反射机制，做题做下来感觉基础很重要，学好了做这种题就会轻松很多，与君共勉，继续加油！！

这篇文章分享了两个逆向工程案例的解题过程。第一个案例《尤皮·埃克斯历险记》通过修复魔改UPX壳后，分析加密函数并利用D810工具去平坦化，最终编写Python脚本逆向解密获得flag。第二个案例《采一朵花，送给艾达》处理了花指令干扰，识别出魔改的RC4算法并编写相应解密脚本。两个案例都展示了从二进制逆向分析到最终解密的完整过程，涉及壳修复、平坦化处理、加密算法逆向等关键技术。

随便看看，不想做的题就没做。

源码泄露，布尔盲注，文件上传

异或：((%8D%9A%9E%9B%99%96%93%9A)^(%FF%FF%FF%FF%FF%FF%FF%FF))(((%9A%91%9B)^(%FF%FF%FF))(((%8C%9C%9E%91%9B%96%8D)^(%FF%FF%FF%FF%FF%FF%FF))(%D1^%FF)));然后prototype这些被过滤了的，可以用 [`${`${`prototyp`}e`}`] 或者 [`p`,`r`,`o`,`t`,`o`,`t`,`y`,`p`,`e`]，"

发现日志中有user-agent信息，因此我们可以在user-agent中写入木马。禁用了php关键字，这个题禁了远程文件包含,进行日志注入。打开36d.php文件拿到flag。抓包burpsuit。依旧Nginx服务器。

文件的写入在ctf中非常麻烦所以不常用 同时上边文件的读取不知道 flag 的位置瞎猜也是非常难受 所以下边这个 命令执行非常牛x。在post中写入就行 但是这个的条件是有 file_put_contents。知道密码之后如果木马是post方式的传输就能使用这个post口直接进行传输。为了防止后端验证文件头 所以写个假的文件头 让它去验证。我们上传的文件只有png能上传成功说明是后端的waf。利用第一个的老套路居然上传成功了这是我没想到的。只需要记住 不同2个中间件的日志。上边的写入其实就是命令的执行啊。

TPCTF2025 WEB WRIREUP WP

对于php相关参数，我们是可以点击的，点击phpinfo访问。题目提示是探针泄露，未及时删除的探针可能造成严重的数据泄露。探针的文件常见命名为tz.php，访问它。跳转后搜索flag，得到flag。

实际上就是这三个条件，

1. 常用工具OpenSSL：命令行工具，支持证书生成、格式转换、加解密。# 生成RSA私钥# 提取公钥：Python密码学库，支持AES、RSA、哈希等。cipher = AES.new(key, AES.MODE_GCM) # AES-GCM模式加密hashlib：Python标准库，支持SHA256、MD5等哈希算法。2. 在线工具Factordb：大整数分解（CyberChef：多功能编解码工具（

一些网站管理员在发布代码时，不愿使用 ‘导出’ 功能，直接复制代码文件夹到 WEB 服务器上，使 .svn 隐藏文件夹被暴露于外网环境，黑客可借助其中包含的用于版本信息追踪的 ‘entries’ 文件，逐步摸清站点结构。SVN 产生的 .svn 目录下还包含了以 .svn-base 结尾的源代码文件副本（低版本 SVN 具体路径为 text-base 目录，高版本 SVN 为 pristine 目录），如果服务器没有对此类后缀做解析，黑客则可以直接获得文件源代码。

Git 是一个开源的分布式版本控制系统，在执行 git init 初始化目录时，会在当前目录下自动创建 .git 目录，记录代码的变更记录等。发布代码时，如果没把 .git 目录删除，就直接发布到了服务器上，攻击者就可以通过它来恢复源代码。根据 git 源码泄露原理，访问相关路由，得到flag。版本控制很重要，但不要部署到生产环境更重要。

CTF中web方向sql注入的题目，包含一些sqlmap的参数讲解

替换为空, 使用了bottle库, 查找一些资料, 发现存在ssti模板注入, 本地搭建环境, 把waf去掉, 可以发现使用。前面一直卡在这, 没办法执行一些函数操作啥的, 就没管了, 后面wp出来之后才知道这是Sqlite注⼊ , 怪我见识短浅了。有点奇怪, 我自己本地试了一下这个cookie是可以被反序列化然后执行的, 但是靶机上一直没成功,可能没有权限还是干嘛。可以执行代码, 但是题目是没有回显的, 所以需要反弹shell, 连上自己的vps。php反序列化, 看似代码很多, 其实大都是没有用的。

漏洞的位置在第三个方框那里，count函数的意思是返回数组中不为空null的元素的个数，那么就可以利用这个来进行绕过，$ext得到的数组最后一个元素。基于此，我们可以通过这样的方法绕过 上传文件名比实际文件后缀名要多，并且最后一个文件后缀为jpg或者其他白名单里面的就可以，这样有效位置-1 就为null，这时只要将文件名数组的第一位设置为php.即可，由于服务器在解析的时候会自动删除. 这样就可绕过对不是数组后缀的处理。的内部指针重置到数组的第一个元素，并返回该值。漏洞描述：白名单过滤，文件保存目录可控。

posixsubprocess.fork_exec 是 CPython 内部实现子进程的底层函数，属于 未暴露给标准审计事件 的底层调用。以为是命令啥的有错误, 但是本地试了一下命令是没问题的, 可以写入文件, 可能题目是没有权限写吧, 所以一直没成功。确实没有触发到RuntimeError , 可以执行命令 ,但是因为环境是无回显的, 无法看到执行的命令的结果。, 而常规的那些想要执行系统命令的函数都不在这几个白名单里面, 所以需要绕过。看完wp后发现还可以用通配符来着, 当时给忘了, 有点蠢了。

上周参加了国外的ApoorvCTF比赛，看一下老外的比赛跟我们有什么不同，然后我根据国内比赛对比发现，他们考点还是很有意思的，反正都是逆向。

2月国内外CTF比赛时间汇总_ctf个人赛报名2023

2018“百越杯”第四届福建省高校网络空间安全大赛writeup0x00题目存档：链接: https