thumbnail
PHP 数组键值截断漏洞分析
前言 今天回学校 , 路上看到有位师傅提出了这个问题 当时在火车上没空认真想 , 还以为是弱类型比较啥的 . 现在看完题后我十分庆幸遇到了这个问题 , 又学会了一个新姿势~ 这里记录下来~ 题目 再看一遍题目 首先判断当前是否以 GET 方式获取到了 user 参数的值 , 若没有则显示源文件 . 然后定义了一个数组 : $user = […
thumbnail
SSII 学习笔记
前言 今早刷帖子看到有位师傅整理了关于 SSII( Server-Side-Includes Injection , 服务器端包含注入 ) 的笔记 , 恰好我之前没有接触过该漏洞 , 所以也学习一下~ SSII ( Server-Side-Includes Injection ) SSI 是什么? 有什么用? SSI ( Server-Side-I…
thumbnail
Web_php_wrong_nginx_config WriteUp
前言 这周末有点不舒服 , 在宿舍躺了两天 , 啥也看不进去 , 整个人都傻了. 这两天稍微好点 , 看了道攻防世界的题目 : Web_php_wrong_nginx_config . 解题路线比较简单也很容易找 , 但是写利用脚本时却遇到了比较大的困难 . 还是我太菜了哈哈 . 下面总结一下解题过程 , 以及构造利用脚本的思路 . Web_php…
thumbnail
ByteCTF 2019 – Babyblog – WriteUp
前言 这题拖延了快半个月了 , 现在才彻底搞明白 . 刚做的时候虽然能拿到 RCE , 但 Bypass Open_basedir 不会 , Bypass disable_functions 也不会 , 总不能照抄大佬们的 Payload 吧 , 那样还有啥意义~ 搞懂之后准备记录下过程 , 其中的坑有点多 , 看各个师傅做的如此轻松 , 我真是太…
thumbnail
PHP-FPM 漏洞利用笔记
前言 前两天看完了 PHP-FPM 的基础内容 , 感觉原理上并不复杂 , 今天来学习一下相关的安全问题 . 将过程记录在下面 . 如果您对 PHP-FPM 不太了解 , 可以参考这篇文章 : PHP-FPM 学习笔记 在该文章的末尾我提到 : Type = 4 的 FastCGI Record 是非常重要的 , 因为它与 PHP 环境变量息息相关…
thumbnail
Flask/Jinja2 SSTI && Python 沙箱逃逸基础
前言 本来周末是想继续学习 PHP-FPM 相关利用方式的 , 但早上课间有个朋友问了我一道关于 Python Template Injection 的题目 . 因为之前遇到过类似问题 , 所以我知道具体的 Payload 是如何构造的 , 但一直没有专门去研究原理 , 借这个机会刚好学习一波~ 然后在学习过程中接触到了 Python 沙箱逃逸的相…
thumbnail
PHP-FPM 学习笔记
前言 遇到一个利用 PHP-FPM Bypass Open_basedir 的问题 , 过去我一直没注重这个问题 , 这里刚好整理学习下~ 这一章先不谈利用方式 , 仅记录一下基础内容 . Web Server 发展阶段 早期阶段 早期的 WebServer 负责处理全部请求 . 它接收到客户端请求 , 读取文件 , 再传输回客户端 . 按照如下的…
thumbnail
Bypass Disable_function
前言 这是我在研究一道题目( ByteCTF 2019 Babyblog ) 时学习到的新姿势 , 之前没有接触过这个 , 因此记录一下作为参考~ 当时的题目环境是这样的 , 可以成功拿到 RCE , 但是发现执行不了敏感函数 , 无法上传 WebShell . 通过 RCE 读取 phpinfo() 后发现目标主机开启了 disable_func…