WEB SQLUS 猜测账户是admin密码是任意一个字符 登录进去后头像那边，可以上传文件，但是文件名里不能有p，尝试传入.htaccess然后传入一个txt当做php执行。 在头像前端看到了上传路径 flag没有权限读，需要提权，反弹shell失败，尝试suid提权。 发现tac有suid权限，直接读文件 CandyShop 123456789import oswith

NepDouble代码过长这里不贴了，看到上传压缩包的第一反应是做一个链接到/flag的软连接，上传上去解压就可以看到flag了，但是这里 12if os.path.islink(new_file): return 'Symbolic links are not allowed.' 把软连接给ban了，就不能通过文件上传来解决问题了。 我们注意文件上传的这一段

GoldenHornKing源码给了是很明显的ssti，在/calc路由里传参calc_req，黑名单是不能有：数字、百分号、非ascii之外的字符。最烦的是这个access，原本是False，可以不用管，但是一旦成功执行一次代码，access就会变成True，这个环境就不能打了，所以我们最好还是在本地先去掉这个access，方便我们调试，先打通一遍，再打开环境尝试。 123456789

brother打开题目是?name=hello，还回显了hello，看一下后台语言和框架 一眼ssti模版注入， 1?name={{g.pop.__globals__.__builtins__.__import__('os').popen('ls').read()}} 看一下当前目录的东西： 1api.p

扫扫看不用扫，猜测是flag.php flag{094c9cc14068a7d18ccd0dd3606e532f} debudaoflag在cookie里： flag{72077a55w312584wb1aaa88888cd41af} 审计1234567891011121314151617181920212223<?phperror_reporting(0);include(&q

机器人打开页面： 一眼robots.txt 123User-agent: *Disallow: /27f5e15b6af3223f1176293cd015771dFlag: flag{4749ea1ea481a5d 只有一半，还有一半呢？给了一个路由，我们尝试扫扫这个路由： 进入/27f5e15b6af3223f1176293cd015771d/flag.php

ezPHPparse_str()可以进行变量覆盖。 全部流量包： 菜狗工具#1python继承链攻击。 1print(().__class__.__base__.__subclasses__()[132].__init__.__globals__['popen']('cat app.py').read()) 爆率真的高事前准备禁用了ctrl+U、F1

依赖jdk：jdk8u65 CB：commons-beanutils 1.8.3 在pom.xml里添加 12345678910<dependency> <groupId>commons-beanutils</groupId> <artifactId>commons-beanutils</artifactId>

cool_indexserver.js: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394

跟CC5一样，也是利用CC1的LazyMap.get及之后的部分，也是只改了开头。 这次是利用Hashtable.readObject方法，这个类是可以序列化的。 寻找在AbstractMap类里的equals方法调用了get方法： 12345678public boolean equals(Object o) { ………… if (value == null