一年一度的总结时间到！ 前言今年经历的事挺多的，甚至可以算是人生转折点的大事，但现在一切已定的时候，我反而不知道该写些什么了，轻舟已过万重山吧。 收下吧，这是我最后的竞赛波纹！今年打的比赛其实也不少，质量也很高，只是AI迭代的横空出世疑似有点要改变竞赛格局了，据说密码和逆向手已经失业了。。。感觉其他方向也快了（ 今年去了很多地方，长沙、珠海、郑州、南京。。。可惜没去成宁波的xctf final线下

前言就差这一道题就进线下了啊，还是可惜了，看了一两天还是寄了。哈gemini一直幻觉我也没招了。 这道Hessian反序列化确实还是有很多值得学习的地方，所以赛后也是速通了一下。 分析版本为hessian-lite 4.0.5，最新版，之前本来有一个议题思路是hessian的新gadget，但是此处最新版就把它修复了，黑名单里也能看到。 反序列化接口非常简单粗暴，没什么好说的，直接看怎么挖掘吧。

前言也是赶上趟了，这两天React2shell这个评分为10分的核弹级漏洞直接刷屏我的整个公众号。。。 但其实还是需要一些条件的，比如你要是纯前端写的或者没用RSC、或者前后端分离的项目，那就根本不会被这样打，那些说堪比21年底log4j的还是没这么夸张。贴一下漏洞作者的话：https://react2shell.com 遂看看分析记录一下，而且后续dify也受到这个洞的后续影响成为了超级重灾区，

前言还是没强网杯那么难，就随便记录一下吧。 smallcode环境变量可控，并且最后直接执行wget，考虑到打环境变量劫持http_proxy，思路就是让wgetrc由此访问到我们vps上起的恶意php木马内容，设置Content-Disposition为php后缀的木马文件并让他下载下来，从而实现RCE。 恶意服务： 123456789101112131415161718from flask i

前言简单看看。 pdf2textpickle找链子打反序列化。 最后的pickle.loads在： 能参考到： pdfminer.six/pdfminer/cmapdb.py at 51683b2528e2aa685dd8b9e61f6ccf9f76a59a62 · pdfminer/pdfminer.six · GitHub 可以跟一下GadGet: 123456

前言帮学弟看了会题，题不难，算记录一下学点新的trick然后增加点做题反射弧吧。 ezjaba题目很简单： 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777

前言​ 最近事比较多，去长沙打完软件安全赛拿了一等奖: ​ 本来是想复现一下那两道java的，其实那两道反序列化只要找到能打的Servlet就随便出了，因为依赖有CC3.1。 ​ 但是环境不太好搭，就此作罢了hhh。 ​ 正好最近有个京麒CTF的FastJ，打这道题必须走JDK11的fj反序列化。 分析简单粗暴的交互： Fastjson1.2.80的任意写利用https://github.co

前言鸽了太久，上周打了个软件安全赛半决，发现很多好玩的高版本JDK的JDBC题目，遂趁着没啥事的时候看看。 其一-软件安全赛初赛-JDBCPartyJDK17打oracle的反序列化。 入口很simple，因为getConnection内我们可控的只有username和password，所以不能直接打JDBC了。 前面给了个deserialize，应该是打这里的反序列化： 这里的打法不仅仅是高

前言这个洞也是最近刚披露就火起来了，因为确实都是老生常谈的洞，触发条件都是以前的CVE。 当然我是为了逃避最近的paper组的压力，感觉那边的事永远都做不完emmmmm，搭完那边的攻击环境就马上润来复现一下这个玩意了。 嘻嘻。 触发条件及利用范围其实就是几个CVE的缝合： CVE-2017-12615 Tomcat PUT 文件上传 CVE-2020-9484：Tomcat Session 反序

前言我勒个XSS大赛。。 最喜欢的java没有出现在web中，反而在misc中吗，哈吉tpctf你这家伙。 thumbor 1附件给的是thumbor的插件环境，hint说没有0day。 那应该就不是thumbor本身的问题，其实也有点关系，就是可以url访问图片，这个在官方security文档就能看到：Security — Thumbor 7.7.4 documentation 但这个题其实是依