前言很久之前跟了CC链和CB链，但是java反序列化还是不是很懂，最近VNCTF做了fastjson的二次反序列化，觉得很有必要自己细致地来研究一遍fastjson原生反序列化。 poc1和poc2链要求fastjson<=1.2.48 poc3、poc4、poc5链是fastjson 1.2.49 版本及以后。 fastjson 1.2.48版本和依赖jdk：1.8.0_66 m

当时比赛没有打，一直在忙VNCTF赛后的事，忙完后才有断断续续的时间来做做。感谢baozongwi师傅提供的环境🙏。 Gavatar通读源码，upload.php可以写入任意文件。 123456789101112131415161718192021222324<?phprequire_once 'common.php';$user = getCurrentUser();

学生姓名管理系统先附上出题记录： 本来是想出一个bottle的自己改改，弄个一千多行代码让大家审，但是怕被骂，就算了。 后面想找个新的内存马，但是后面测试发现bottle模版的ssti可以直接exec，就想出一个伪装成SSTI模版注入的python沙箱逃逸。 先把危险方法全删了 123456789101112131415161718192021#利用ast沙箱不允许引用其他库def verify_

https://github.com/NapNeko/NapCatQQ 首先下载napcat，在releases页面下载win64无头的。 解压到一个文件夹后，打开NapCatWinBootMain.exe 然后在控制台会有这样一句 102-07 12:24:18 [info] [NapCat] [WebUi] WebUi Local Panel Url: http://127.0.0.1:60

Level 24 Pacman base64解密结果： 1haeu4epca_4trgm{_r_amnmse} 一眼栅栏密码。 hgame{u_4re_pacman_m4ster} Level 47 BandBomb1app.use('/static', express.static(path.join(__dirname, 

Rank-l 可能是ssti，过滤了一些东西，如果触发过滤，输入密码的页面会直接302 过滤了空格，用request.args.aaa可以参数逃逸。 1phone_number={{url_for.__globals__['__builtins__'].__import__('os').popen(request.args.aaa).re

SU_photogallery 尝试源码泄露 https://www.cnblogs.com/Kawakaze777/p/17799235.html 123456789101112131415161718192

python口算-pcb2024123456789101112131415161718192021222324import requestsimport reurl = "http://192.168.18.28"# 定义计算表达式的函数def calculate_expression(expression): # 使用正则表达式匹配数字和运算符 tokens =

PyBlockly黑名单过滤了所有符号，只能在print里用字母和数字， 1234if check_for_blacklisted_symbols(block['fields']['TEXT']): code = ''else: code = "'" + unidecode.unidecode(b

ezRender这道题主要是成为admin，要成为admin就要伪造cookie，要伪造cookie就要获取jwt密钥。 jwt密钥生成逻辑： 123456789101112131415161718192021import timeclass User(): def __init__(self,name,password): self.name=name self