Kingkk's Blog.

Kingkk's Blog.

Web dog一枚/渴望挖洞补贴家用

Flask/Jinja2 SSTI && python 沙箱逃逸
前言想着之前学了Flask,就正好把之前的SSTI模板注入,和python沙箱逃逸一起给学了虽然模板注入和沙箱逃逸是两码事,但是由于jinja2的python运行环境也是一个沙箱,就会涉及到到一些沙箱逃逸的东西而且沙箱逃逸也不仅仅只有在SSTI中发挥作用,所以虽然写在一起,但沙箱逃逸可能还会占一块比较大而独立的部分 SSTISSTI,又称服务端模板注入攻击。其发生在MVC框架中的view层。 服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题 先来看一...
flask-学习记录
前言等待漏洞审核和国赛名单真是个难熬的事情,目前已经等到麻木了期间就决定学习一下flask,了解一下python web之前学过一些Django,但是那时候还懵懵懂懂,而且Django封装了太多东西,那时候也就只能照着教程来依葫芦画瓢然后这回打算从更加轻量级的flask入手,来学习python web 正文不知道写啥就写博客系统呗,于是就花了两个星期左右时间写了一个博客系统还是先上下项目的github地址吧 主要的功能在github里已经说清楚了,写博客主要是为了理清flask的运行逻辑,以及一些相互关系 目录结构先上一下整个项目的目录结构123456789101112131...
74cms 漏洞分析
74cms v4.0-v4.1 前台getshell参考文章 漏洞发生在\Application\Home\Controller\MController.class.php中 代码如下123456789101112public function index(){ if(!I('get.org','','trim') && C('PLATFORM') == 'mobile' && $this->apply['Mobile']){ redirect(build_mobile_url()); } ...
metinfo5.3漏洞分析
Metinfo 5.3.17 前台SQL注入漏洞分析主要是参考p神的文章 注入点出现再一个公共函数库中/include/global.func.php中的jump_pseudo()123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960function jump_pseudo(){ global $db,$met_skin_user,$pseudo_jump; global $met_column,$met_ne...
一个从零开始的mvc
前言仔细算来,已经差不多有20天没有更新过博客了,自己的网站页差不多有十几天没来过了。好吧,其实是去coding去了,感觉没什么好记录也没什么需要记录的,也就没有写博客了。 正文emm,身为半个野路子出来的人,没有做过开发,从小迪开始,零星的收集着知识点,用着一些大佬写好的工具,抓几个包,肆意的跑着。实际渗透起来,总觉得像是一个无头的苍蝇,乱飞,费力而且找不到想要的东西。 这学期一开学差不多当了两个月的赛棍,从n1ctf一直到最后参加的ciscn。国际赛,全国赛,学校看重的比赛,乱七八糟的比赛都参加了。中间writeup写了不少,也学了不少骚操作。。可是连续打到了上一个月底的时候,在写w...
2018DDCTF writeup
前言DDCTF实在被虐的有点惨,中途就放弃了(逃……)只能赛后复现一下,不间断更新。。 数据库的秘密进入第一步是一个ip验证 用firefox的插件,添加一个x-forwarded-for 的header就行进入之后是个简单的查询功能任意查询之后发送给一个包,发现多了一个author参数回到html页面,发现的确有这个隐藏的form值经过一些尝试之后发现如下几点1、其他的非隐藏值都有被过滤,无法进行注入。但是对author进行admin'# 和admin' and 1#测试是发现存在注入2、有安全狗拦截3、不能进行任意发包,会对sig和time参数进行校验 接下来就是...
BCTF2018 LOVE Q
前言为数不多做出来的“高分题”(刚做出来的时候算高分,后来就掉下去了),记录一下 正文进入首页 和之前的N1CTF的web 7777类似,算是一个升级版最恶心的部分是waf,过滤了很多 数字部分能用的只有 2 和 9 比较符号除了 > 其余等号和小于号都过滤了还有一个问题,没有回显,ha?这回的points设置之后无法判断回显时间盲注的函数sleep、benchmark之类的函数都被禁用了没有回显怎么盲注呢,然后就将关注点转义到了为数不多的输出上 “sorry”当语句执行出错时,会输出sorry,想到找到一个语法正确,但是无法执行的语句 mysql> select ...
XCTF-HIBTweb writeup
upload两个主要功能页面 index.html 上传图片 上传之后会返回图片重命名后的名字 pic.php?filename=xxx.png 返回图片的长、宽 还有一个很重要的信息,IIS+php 先试着上传一个php文件 发现做了过滤,可以用一个简单的方法绕过 文件名后加一个空格,windows下会自动去掉 1.php (后面有一个空格) 上传成功 接下来就是找文件被放到了哪里(自己比赛的时候一直是以为上传完之后文件就被删了,要去upload下竞速找文件。。) 这里应该首先想到windows平台下php文件解析的一个bug 主要是由于php使用了windows...
2018 0ctf-部分writeup
前言这星期补了下js、nodejs基础,决定回过头来再看一下这些题 每个都是看了很久才看懂具体在操作什么 所以,讲熟练掌握这个技巧了是不太可能,只能做下记录 Loginme先贴一下源码,加粗一下个人认为最重要的一个代码块123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051var express = require('express')var app = express()var bodyParser = require('body-parser')ap...
Mongodb基础操作及基础注入
前言感觉最近的javascript前景大好,前后端通杀。nosql缓存机制的应用也越来越广泛,不说长远,至少是近期的一种趋势。 最近也就打算开始着手学习js,以及一些缓存应用,就先从mongodb开始。安装配置部分就省略了,网上教程实在太多。 常用操作数据库 创建/使用数据库 use DB_NAME (使用时不存在直接创建,无需手动创建) 查看所有数据库 show dbs 查看当前数据库 db 删除数据库 db.dropDatabase() (需切换到对应数据库下) 集合(类似表) 创建集合 db.createCollection(name[...
kingkk
witness me
FRIENDS
mt FAtwAER