Java题目总是望而却步，这得学啊，结合Gemini给我的大纲一点一点补吧。 Java 基础写过Kotlin了，Java就很好上手（倒反天罡了属于是） 学你妈，直接开始做题，边做边学了呗。 Java 反序列化面向对象的语言总免不了将对象序列化存储的需求，Java反序列化打发应该和PHP差不多（也许吧）。 JNDI 注入与绕过表达式注入SpEL (Spring)： 常见于 Spring Boot 报错或 DataBinder 处。OGNL (Struts2)： 经典的 Struts2 漏洞核心。Velocity/Thymeleaf (SSTI)： 模板注入导致 RCE。框架/组件特定漏洞Spring 系列： Spring4Shell (CVE-2022-22965)、Actuator 未授权访问、H2 Database 注入。Fastjson/Jackson： 经典的 parseObject 导致的反序列化。Log4j2/Logback： Log4Shell 及其后续的绕过技巧。Java 原生缺陷与逻辑Path Traversal： 尤其注意 Zi ...

[Web]EzJava弱密码登陆: admin/admin123 Spring框架Thymeleaf SSTI Pyaload 12345[[${7*7}]]49[[${#ctx}]]{ip=10.0.0.248, now=2025-12-28T09:58:19.162353, ua=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36, thymeleaf::EvaluationContext=org.thymeleaf.spring5.expression.ThymeleafEvaluationContextWrapper@765801c6}[StandardHTMLInliner]([[${#ctx}]]) 1[[${#ctx.getClass().forName("java.nio.fi ...

ezupload PHP has turned 30, but hey, age is just a number! Like a fine wine (or maybe a funky cheese), it only gets better with time. Or does it? Dive into this challenge and find out for yourself. 题目先来看一眼题目： 12345678910111213141516171819<?php$action = $_GET['action'] ?? '';if ($action === 'create') { $filename = basename($_GET['filename'] ?? 'phpinfo.php'); file_put_contents(realpath('.') . DIRECTORY_SEPARATOR . $filename, & ...

你的意思是，安卓微信几年都没改加密算法？ 直接端上来吧！当前安卓端微信（8.0.66）依然采用sqlcipher v4加密数据库。加密数据库文件名EnMicroMsg.db，root之后可以pull出来，不过要怎么解密呢？ 只需要uin和imei即可。 1. 获取uinuin = user information，每个微信号对应一个唯一的uin。uin可以直接从prefs.xml配置文件读取。经过测试，该配置文件可能出现在不同路径，应该与手机登陆、平板手机同时登录相关。 优先尝试这个路径(手机登陆) 1/data/data/com.tencent.mm/MicroMsg/shared_prefs/system_config_prefs.xml 如果上面文件不存在，尝试这个(手机平板同时登陆) 1/data/data/com.tencent.mm/shared_prefs/auth_info_key_prefs.xml 两个文件虽然文件名不同，但结构一致，示例如下(已隐去隐私数据)： 123456789<?xml version='1.0' en ...

UDF是啥捏～**UDF(User Defined Function)**，用户定义函数，就是插件嘛。用C/C++写的，编译成动态链接库，加载它就可以实现一些自定义功能。这里可以类比PHP的FFI或者劫持LD_PRELOAD指向自己的动态链接库又或者让Curl加载恶意动态链接库。呃🤔，好像PHP也可以写一篇，如何绕过disabled_function哈哈。TODO 手搓UDF～ 其实直接去sqlmap GitHub把编译好的so/dll下下来就好了 MySql版本大于5.1版本时，udf.dll/udf.so文件必须放置于MySql安装目录下的lib\plugin文件夹下，因此plugin 目录可写且需要 secure_file_priv 无限制。 要写一个符合标准的UDF拓展，需要严格遵守UDF接口手册。先以MySql为例，我们去翻官方文档，妈的根本翻不到，直接来看现成的源码。sqlmap的udf功能强大，但实现比较复杂，这里用一个最简单的来作为示例，这是针对x86 Linux。 123456789101112131415161718192021222324252627 ...

本来不想写了，因为只跟着做了三题，而且都是跟着各位师傅做最后复现了一下。全是我布吉岛的知识，那既然打了那还是写一下吧：D 四道Web题，全是XSS。呃呃呃啊啊。而且都用到了很新的技术，每一题都值得单独写一篇文章。再说吧。 broken-challenge考点：CA证书泄漏，HTTP/2 SXG + XSS，绕过CORS窃取Cookie 简单看一下题目，给了完整源码和一个入口http://broken-challenge.seccon.games:1337/，访问/hint可以在source里获取根证书的私钥，题目附件里拿到公钥。 打开网页是一个bot，可以填入url，点击REPORT会让bot打开一个puppeteer的chromium，访问指定的url。并且有以下设置： 123456await context.setCookie({ name: "FLAG", value: flag.value, domain: "hack.the.planet.seccon", path: "/ ...

例题：Object获取这里放一道题目的PyJail部分。 12345678910111213141516import subprocess # 原题不是这样导入的，不过意思一下吧def pyjail(code): blacklist = ['\\x','+','join', '"', "'", '[', ']', '2', '3', '4', '5', '6', '7', '8', '9'] for i in blacklist: if i in code: return 'Invalid code' safe_globals = {'__builtins__':Non ...

Phar（PHP Archive）是一种将多个 PHP 文件及资源打包成单个文件（类似 Java 的 JAR 或 ZIP）的 PHP 归档格式，方便 PHP 应用程序和库的分发，支持 Tar、ZIP 或自定义格式，并可通过 Gzip/Bzip2 压缩和数字签名，主要通过 php.net/manual/zh/book.phar.php 介绍的 Phar 类进行创建和操作，但需注意其反序列化机制曾存在安全漏洞。 Phar 在PHP 5.3 或更高版本中默认开启 前戏注意要将php.ini中的phar.readonly选项设置为Off，否则无法生成phar文件。如果懒得关或找不到，可以临时使用php -d phar.readonly=0 gen_phar.php 先来看phar的结构 a stub可以理解为一个标志，格式为xxx，前面内容不限，但必须以__HALT_COMPILER();来结尾，否则phar扩展将无法识别这个文件为phar文件 a manifest describing the contentsphar文件本质上是一种压缩文件， ...

开始打CTF以来，PHP的各种奇妙Trick无时无刻不刷新着我对PHP的认知，每当看到新的trick被挖出来时，都会发出哇的一声惊叹。看了很多师傅非常精彩的的文章，也打算自己写一篇汇总，写给自己看，也希望能分享给需要的师傅们。 PHP的Trick太过于丰富，以至于很难一篇文章全部覆盖到。因此，本文是作为一个总章目录，附带简短介绍。具体展开会分布在各篇单独的文章里。 0x00Pharの妙妙屋 介绍Phar的相关奇妙知识和waf绕过技巧，以及LFI&反序列化