ezupload PHP has turned 30, but hey, age is just a number! Like a fine wine (or maybe a funky cheese), it only gets better with time. Or does it? Dive into this challenge and find out for yourself. 题目先来看一眼题目： 12345678910111213141516171819<?php$action = $_GET['action'] ?? '';if ($action === 'create') { $filename = basename($_GET['filename'] ?? 'phpinfo.php'); file_put_contents(realpath('.') . DIRECTORY_SEPARATOR . $filename, & ...

你的意思是，安卓微信几年都没改加密算法？ 直接端上来吧！当前安卓端微信（8.0.66）依然采用sqlcipher v4加密数据库。加密数据库文件名EnMicroMsg.db，root之后可以pull出来，不过要怎么解密呢？ 只需要uin和imei即可。 1. 获取uinuin = user information，每个微信号对应一个唯一的uin。uin可以直接从prefs.xml配置文件读取。经过测试，该配置文件可能出现在不同路径，应该与手机登陆、平板手机同时登录相关。 优先尝试这个路径(手机登陆) 1/data/data/com.tencent.mm/MicroMsg/shared_prefs/system_config_prefs.xml 如果上面文件不存在，尝试这个(手机平板同时登陆) 1/data/data/com.tencent.mm/shared_prefs/auth_info_key_prefs.xml 两个文件虽然文件名不同，但结构一致，示例如下(已隐去隐私数据)： 123456789<?xml version='1.0' en ...

UDF是啥捏～**UDF(User Defined Function)**，用户定义函数，就是插件嘛。用C/C++写的，编译成动态链接库，加载它就可以实现一些自定义功能。这里可以类比PHP的FFI或者劫持LD_PRELOAD指向自己的动态链接库又或者让Curl加载恶意动态链接库。呃🤔，好像PHP也可以写一篇，如何绕过disabled_function哈哈。TODO 手搓UDF～ 其实直接去sqlmap GitHub把编译好的so/dll下下来就好了 MySql版本大于5.1版本时，udf.dll/udf.so文件必须放置于MySql安装目录下的lib\plugin文件夹下，因此plugin 目录可写且需要 secure_file_priv 无限制。 要写一个符合标准的UDF拓展，需要严格遵守UDF接口手册。先以MySql为例，我们去翻官方文档，妈的根本翻不到，直接来看现成的源码。sqlmap的udf功能强大，但实现比较复杂，这里用一个最简单的来作为示例，这是针对x86 Linux。 123456789101112131415161718192021222324252627 ...

本来不想写了，因为只跟着做了三题，而且都是跟着各位师傅做最后复现了一下。全是我布吉岛的知识，那既然打了那还是写一下吧：D 四道Web题，全是XSS。呃呃呃啊啊。而且都用到了很新的技术，每一题都值得单独写一篇文章。再说吧。 broken-challenge考点：CA证书泄漏，HTTP/2 SXG + XSS，绕过CORS窃取Cookie 简单看一下题目，给了完整源码和一个入口http://broken-challenge.seccon.games:1337/，访问/hint可以在source里获取根证书的私钥，题目附件里拿到公钥。 打开网页是一个bot，可以填入url，点击REPORT会让bot打开一个puppeteer的chromium，访问指定的url。并且有以下设置： 123456await context.setCookie({ name: "FLAG", value: flag.value, domain: "hack.the.planet.seccon", path: "/ ...

例题：Object获取这里放一道题目的PyJail部分。 12345678910111213141516import subprocess # 原题不是这样导入的，不过意思一下吧def pyjail(code): blacklist = ['\\x','+','join', '"', "'", '[', ']', '2', '3', '4', '5', '6', '7', '8', '9'] for i in blacklist: if i in code: return 'Invalid code' safe_globals = {'__builtins__':Non ...

Phar（PHP Archive）是一种将多个 PHP 文件及资源打包成单个文件（类似 Java 的 JAR 或 ZIP）的 PHP 归档格式，方便 PHP 应用程序和库的分发，支持 Tar、ZIP 或自定义格式，并可通过 Gzip/Bzip2 压缩和数字签名，主要通过 php.net/manual/zh/book.phar.php 介绍的 Phar 类进行创建和操作，但需注意其反序列化机制曾存在安全漏洞。 Phar 在PHP 5.3 或更高版本中默认开启 前戏注意要将php.ini中的phar.readonly选项设置为Off，否则无法生成phar文件。如果懒得关或找不到，可以临时使用php -d phar.readonly=0 gen_phar.php 先来看phar的结构 a stub可以理解为一个标志，格式为xxx，前面内容不限，但必须以__HALT_COMPILER();来结尾，否则phar扩展将无法识别这个文件为phar文件 a manifest describing the contentsphar文件本质上是一种压缩文件， ...

开始打CTF以来，PHP的各种奇妙Trick无时无刻不刷新着我对PHP的认知，每当看到新的trick被挖出来时，都会发出哇的一声惊叹。看了很多师傅非常精彩的的文章，也打算自己写一篇汇总，写给自己看，也希望能分享给需要的师傅们。 PHP的Trick太过于丰富，以至于很难一篇文章全部覆盖到。因此，本文是作为一个总章目录，附带简短介绍。具体展开会分布在各篇单独的文章里。 0x00Pharの妙妙屋 介绍Phar的相关奇妙知识和waf绕过技巧，以及LFI&反序列化

[Web] Who am I先注册个账号，登陆一下，bp抓包发现居然多了一个参数？？后面审计发现是混淆后的js注入的。其中type=0代表给姥爷账号，type=1代表普通账号 12POST /loginusername=Chao&password=123456&type=0 成功登陆管理员账号，获取源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127from flask import Flask,request,render_template,redirect ...

[Web] No Sight Requiredsql盲注，输入114514' or 1=1 -- 提示存在，确认为注入点 1sqlmap -u "http://104.198.24.52:6013/search?id=4" --random-agent --dbms=sqlite -T secret_flags --dump --threads=5 [Web] Go Touch Grass这题考查STTF(Scroll To Text Fragment)，配合DNS外带。STTF介绍 简单来说，当url最后携带#:~:text=时，浏览器会自动滚动到含有对应文字的锚点，博客的目录常使用这个特性。同时，本题还涉及lazyload的DNS预解析问题。只有当显示到的时候，会触发dns预解析，将数据外带出去。结合代码来看，bot会开启一个顶部写有flag的浏览器，同时接受base64解码后的note显示在后面。 我们写有两个锚定文本，这时候对第一个SSTF锚点进行按位爆破，第二个写固定的文本（这个会附加到note尾部，如果flag没有匹配到，就会滚动到末尾）。n ...