pwnhub2022春季赛 wp 发表于 2022-04-24 更新于 2022-04-25 分类于 刷题记录 阅读次数: Valine: pwnhub2022春季赛 wp菜捏,本来还说努努力恰个钱,结果大家都是套皮究极联队。搞了两天经典纪念品,taxi了 几个人小作坊式的恰钱计划还是打不过联队捏。好烦哦题目整体难度不是很大。但是那个传奇实在是有点技术盲区最后除了null究极碾压全场之外,剩下几个队都只差一点点。多出一个题就恰饱饱了呜呜。据说null还去mrctf大杀四方,人多就是好啊呜呜 webezpdf 阅读全文 »
[*CTF2022]web wp 发表于 2022-04-18 更新于 2022-04-21 分类于 刷题记录 阅读次数: Valine: [*CTF2022]web wp本来都不准备写了的,然后突然又学到了些什么,然后就又开始写了。。。以及windows不能以*作为文件名。。。。 oh-my-grafana百度一下,你就知道.jpg简单题,主页给了版本号,直接百度这个玩意的历史洞,有一个插件目录下任意文件读取的洞CVE-2021-43798,读etc/grafana/grafana.ini获取到用户名密码,直接登入后台乱点查数据库获取到flag oh-my-lotto & revenge 阅读全文 »
[CVE-2022-22965]SpringRCE分析 发表于 2022-04-12 分类于 漏洞分析 阅读次数: Valine: [CVE-2022-22965]SpringRCE分析毕设突然通知中期,加上最近又有面试,大概有两个星期没有水文章了。复习面试的时候怕问java,就抽空调了一下最新的spring究极rce。然后现在水成文章 这个洞在刚出来的时候吹的很牛逼,什么核弹级,和log4j那个一样牛逼。那个时候就提到了只能对tomcat部署的spring进行利用,还要jdk9以上。听起来就不是很牛逼,现在再try了一下之后感觉更不nb了,真是不知道在吹什么 分析漏洞原理网上的文章有一大堆,基础原理看的话还有java bean一类的基础知识。 阅读全文 »
tabby使用入门 发表于 2022-03-30 更新于 2022-03-31 分类于 笔记 阅读次数: Valine: tabby使用入门在坐完了CodeQL的牢之后,尝试使用另一个高级一点的工具 整体的使用难度并不是很高,主要是顺便把windows上的一些乱七八糟的java环境相关的事情重新理了一遍。把一些垃圾文件清理掉了 (用了半天感觉windows跑java不行) 说起来搜这个tabby的时候搜到了另一个叫tabby的终端,看了一下挺好看的就替换掉了非常不行的cmder和git bash(唯一缺点是启动需要个两三秒)。然后就出现了用tabby在命令行跑tabby的操作 阅读全文 »
LINECTF2022wp 发表于 2022-03-27 分类于 刷题记录 阅读次数: Valine: LINECTF2022wp好像还不是很坐牢。所以这篇能叫wp 全程看tkmk神仙疯狂输出,我在旁边打杂学习 四个简单一点的题都出了,然后一两个解的几个题没心情看呜呜说到最后还是只会做简单题的垃圾呜呜 bb 阅读全文 »