[GXYCTF2019]禁止套娃
进入发现什么都没有 查看源码还是什么都没有 dirsearch扫描 发现.git 泄露 使用Githack提取 …
[网鼎杯2020 青龙组]AreUSerialz
源代码: 先找到传入点: 得知,通过GET方式传入str,is_valid函数会校验传入的 反序列化后的str …
[GXYCTF2019]Ping Ping Ping(命令注入)
首先命令注入拼接符: & 表示任务在后台执行,如要在后台运行redis-server,则有 redis …
进入发现什么都没有 查看源码还是什么都没有 dirsearch扫描 发现.git 泄露 使用Githack提取 …
源代码: 先找到传入点: 得知,通过GET方式传入str,is_valid函数会校验传入的 反序列化后的str …
首先命令注入拼接符: & 表示任务在后台执行,如要在后台运行redis-server,则有 redis …