年终总个结。 竞赛之路今年去了福建，天津，成都，广州，贵阳，大江南北真是路漫漫啊。年初沉淀略过（ 今年四月主动请缨，命运的齿轮也许就此开始转动。真的就感觉写男频小说一样啊。 我忘不了在福建三明红明谷的力不从心，初出茅庐但铩羽而归，前二十但一个奖没得到： 我忘不了在天津大学的国赛半决赛前一晚的彻夜难眠，华北80进9残酷至极，还好有惊无险第五进线： 我最最最最忘不了在四川大学国赛决赛的AWDP和渗

前言鸽了太久，上周打了个软件安全赛半决，发现很多好玩的高版本JDK的JDBC题目，遂趁着没啥事的时候看看。 其一-软件安全赛初赛-JDBCPartyJDK17打oracle的反序列化。 入口很simple，因为getConnection内我们可控的只有username和password，所以不能直接打JDBC了。 前面给了个deserialize，应该是打这里的反序列化： 这里的打法不仅仅是高

前言这个洞也是最近刚披露就火起来了，因为确实都是老生常谈的洞，触发条件都是以前的CVE。 当然我是为了逃避最近的paper组的压力，感觉那边的事永远都做不完emmmmm，搭完那边的攻击环境就马上润来复现一下这个玩意了。 嘻嘻。 触发条件及利用范围其实就是几个CVE的缝合： CVE-2017-12615 Tomcat PUT 文件上传 CVE-2020-9484：Tomcat Session 反序

前言我勒个XSS大赛。。 最喜欢的java没有出现在web中，反而在misc中吗，哈吉tpctf你这家伙。 thumbor 1附件给的是thumbor的插件环境，hint说没有0day。 那应该就不是thumbor本身的问题，其实也有点关系，就是可以url访问图片，这个在官方security文档就能看到：Security — Thumbor 7.7.4 documentation 但这个题其实是依

前言这道题EXP不难理解，fury反序列化让我想起一位故人： 去年国赛华北分区赛的一道fury题，当我复现完Aliyun这道题马上就想到了华北那道，但是两个fury的黑名单其实是一样的，只是Aliyun的加了一个com.feilong，也是这道题的突破口，华北那道有点显得无懈可击了。。。 那道题是0解7修，应该是石沉大海了。期望有缘的大佬能将那道题解出来让我学习学习吧（ 分析官方EXP其实写的很清

前言随便看看，随便打打。 SQL不想做。 javaGuide比较简单的缝合，题目给了一个反序列化入口，依赖是fastjson1.2.83，可以直接用fj原生打底。 但这里重写了resolveClass来对序列化数据进行check： 12345678910111213141516171819public class MyObjectInputStream extends ObjectInputStr

前言期末周的时候看了看，也打了打，但是忘了写wp。。。 反正寒假今天没啥事，再复现一把吧。 西湖论剑邀请函获取器你不说谁知道是Tera的SSTI啊。。。。 Rust的玩意，这样读环境变量直接出了： 1{%set my_var = get_env(name="FLAG") %}{{my_var}} 或者： 1{

前言当时期末复习去了没看国赛题，回头发现一道有意思的题。 又是solon框架，想起了去年我打国赛时的心情hhh 分析在ApiGateway中定义了路由，大概意思就是将BookServiceImpl这个类加入到book这个路径下，也就说访问的话就是/api/rest/book/xxx： 那我们就可以通过/api/rest/book/getBook，/api/rest/book/getAllBook

WEEK1看看HGAME，确实好题啊。 Level 24 PacmanJS题，前端js确实能看到疑似base64的东西，解密后再栅栏解密却是假的flag。 对于它说的10000分，搜它的十六进制，发现有个比较的逻辑，对应0x270f，也就是9999的十六进制。 从变量能找到_SCORE，那么我们直接在console设置_SCORE=10000，然后死五次就获得了个base64，再栅栏解密得到真正

前言明天西湖，今天练练。 web第一天挺简单的。 day1-easy_flaskSSTI一把梭，没啥好讲。 day1-file_copy给了一个copy的交互，source可控，但是destination不可控，但是会回显source文件的bytes大小，这里就想到了php-filter-chain，通过盲注来将flag带出来。 具体原理不说了，网上分析phpchain的也有很多。 当然这里也可以