LoRexxar's Blog

RCTF刚好赶上了完成毕设的时间，没办法只接触了部分题目，可惜的是，其中很多题目都不是特别有意思，这里只整理部分我参与的.. r-cursive12345LUL dat fonthttp://r-cursive.mlhint: If you get stuck after arbitary code execution, try to escape the sandbox. phpinfo may help you figure out how the sandbox works. 蛮神奇的一题，题目代码是这样的 12345678910111213141516 <?php$tok...

在前段时间参加的CTF中，有一个词语又被提出来，Service Worker，这是一种随新时代发展应运而生的用来做离线缓存的技术，最早在2015年被提出来用作攻击向，通过配合xss点，我们可以持久化的xss控制。 本文提到的大部分技术来自 https://speakerdeck.com/masatokinugawa/pwa-study-sw 什么是Appcache 和 Service Worker?伴随着H5的诞生，Web app越来越需要应用化，与之相关，各种离线的需求也接踵而至，Appcache就是用来做网站的离线缓存的，可以通过manifest文件指定浏览器缓存哪些文件以供离线访...

TCTF/0CTF中的压轴题目，本来可以在题目还在的时候研究的，无奈又因为强网杯的事情又拖了好几天，今天才整理出来，整个题目的利用思路都是近几年才被人们提出来的，这次比赛我也是第一次遇到环境，其中关于Appcache以及Service Worker的利用方式非常有趣，能在特殊环境下起到意想不到的作用。 下面的Writeup主要来自于 https://gist.github.com/masatokinugawa/b55a890c4b051cc6575b010e8c835803 h4x0rs.space题目分析1234567891011121314I've made a blog plat...

本来早就该完成的club2 wp因为清明节的关系拖了一段时间，club2这个题目用了一很精巧的postMessage漏洞。 h4xors.club2一个非常有意思的题目，做这题的时候有一点儿钻牛角尖了，后面想来有挺多有意思的点。先分享一个非常秀的非预期解wp。 http://www.wupco.cn/?p=4408&from=timeline 在分享一个写的比较详细的正解 https://gist.github.com/paul-axe/869919d4f2ea84dea4bf57e48dda82ed 下面顺着思路一起来看看这题。 12345Get document .cook...

ezdoor题目上来就是代码审计，先看看代码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475<?phperror_reporting(0);$dir = 'sandbox/' . sha1($_SERVER['REMOTE_ADDR']) . '/';if(!file_exists($dir)){ mkdir($dir);}if...

刚刚过去的TCTF/0CTF2018一如既往的给了我们惊喜，其中最大的惊喜莫过于多道xss中Bypass CSP的题目，其中有很多多应用于现代网站的防御思路，其中的很多利用思路非常精巧，值得研究，所以这里我把xss题目单独出来博文，因为它们值得更多关注！ ps：writeup会在我复现整理完后不断分享出来… bl0g123An extremely secure blogJust focus on the static files. plz do not use any scanner, or your IP will be blocked. 很有趣的题目，整个题的难点在于利用上 站内的...

现在人老了，不仅ctf不想打了，写wp也想偷点懒，下面的writeup就从简完成了，如果有问题可以直接问我看看。 Webshare your mind一道挺迷的xss题目，开始做题的时候拐入了一个神奇的非预期。 基础的思路挺明确的，首先需要找个以当前域下的self-xss，然后发送给管理员，bot访问然后进一步… 首先就需要找到一个xss点，由于写文章的点经过html过滤，尖括号被转义了，再加上第一个提示说后台bot使用了phjs做浏览器，所以提出了一个想法，phjs有什么和普通浏览器不同的点，然后就被带入歧途了。 在盲测payload的时候，这样的一个payload收到了返回1http...

HCTF2017过去了已经快要2个半月了…时间飞逝，临到年关才有空提笔写写去年的得失，断断续续居然写了快半个月，其实很多故事都没什么特别的，还记得去年提笔写HCTF2016的时候，只不过是因为学校的事情有些抑郁，深夜随便写写吐槽一下，也算消解了很多无用的情绪。没想到的是，居然有很多人看到了那篇在我看来很无趣的深夜吐槽，给了我们很多鼓励，这里也谢谢那些愿意支持我们的人，现在的Vidar真的来之不易… 下面就随便聊聊天，聊聊HCTF2017，聊聊我去年的一些得失，也算是给这个技术博客增添一些个人情绪色彩。 聊聊协会在开始聊HCTF之前，还是想聊聊协会的事情，2017年的Vidar-Tea...

2018年1月30日，joomla更新了3.8.4版本，这次更新修复了4个安全漏洞，以及上百个bug修复。 https://www.joomla.org/announcements/release-news/5723-joomla-3-8-4-release.html 为了漏洞应急这几个漏洞，我花费了大量的时间分析漏洞成因、寻找漏洞触发位置、回溯逻辑，下面的文章比起漏洞分析来说，更接近我思考的思路，希望能给大家带来不一样的东西。 背景其中的4个安全漏洞包括1234- Low Priority - Core - XSS vulnerability in module chromes (af...

文章首发在paper.seebug.org平台 0x01 背景织梦内容管理系统(DedeCms)以简单、实用、开源而闻名，是国内最知名的PHP开源网站管理系统，也是使用用户最多的PHP类CMS系统，在经历多年的发展，目前的版本无论在功能，还是在易用性方面，都有了长足的发展和进步，DedeCms免费版的主要目标用户锁定在个人站长，功能更专注于个人网站或中小型门户的构建，当然也不乏有企业用户和学校等在使用该系统。 2018年1月10日， 锦行信息安全公众号公开了一个关于DeDeCMS前台任意用户密码修改漏洞的细节2。 2018年1月10日，Seebug漏洞平台3收录该漏洞，漏洞编号为SSV-...

34c3作为ctftime很少见的高权重比赛仍然没让人失望，提供了足够好的题目质量，其中有3题是和xss有关系的，很有趣 这里整理了一下Writeup给大家 urlstorage初做这题目的时候感觉又很多问题，本以为最后使用的方法是正解，没想到的是非预期做法，忽略了题目本身的思路，抛开非预期不管，题目本身是一道非常不错的题目，用了css rpo来获取页面的敏感内容。 CSS RPO首先我们需要先解释一下什么是CSS RPO,RPO 全称Relative Path Overwrite，主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞，通过一些技巧，我们可以通过相对路径来引入其他...

几个月前代码审计的时候，翻了翻wordpress的几个插件，因为wordpress的主要功能基本都是后台的，很少有前台能触发的漏洞，也就没看了，后来顺手就把挖到的2个后台漏洞申请了cve，没想到引来两个人讨论… 你觉得，什么样的漏洞才算是漏洞呢？ authentiicated upload file and php code executionfile /wp-content/plugins/updraftplus/admin.php line 1843 function plupload_action via the name parameter to set filename, a...

1234567Deserted placeDescription maybe nothing here flag in admin cookieNow Score 820.35Team solved 3 出题思路来自于一个比较特别的叫做SOME的攻击方式，全名Same Origin Method Execution，这是一种2015年被人提出来的攻击方式，可以用来执行同源环境下的任意方法，2年前就有人做了分析。 原paperhttp://blog.safedog.cn/?p=13https://lightless.me/archives/same-origin-method-execti...

1234567A World RestoredDescription:nothing here or all the here ps:flag in admin cookie flag is login as adminURL http://messbox.2017.hctf.ioNow Score 674.44Team solved 7 1234567A World Restored AgainDescription: New Challenge !! hint: flag only from admin botURL http://messbox.2017.hctf.ioNow Sc...

1234567891011babycrackDescription just babycrack1.flag.substr(-5,3)=="333"2.flag.substr(-8,1)=="3"3.Every word makes sence.4.sha256(flag)=="d3f154b641251e319855a73b010309a168a12927f3873c97d2e5163ea5cbb443" Now Score 302.93Team solved 45 还是很抱歉题目的验证逻辑还是出现了不可逆推的问题，被迫在比赛中途加入4个hint来修复问题，下面我们来慢慢看看代码。 题...

由于最近HCTF2017就要开始了，投入了大量的精力来维护题目和测试平台，无奈刚好错过了HITCON的比赛，赛后花了大量的时间整理writeup，不得不说Orange在Web很多问题的底层溯源上领先了我一大截，下面分享我的writeup。 orange公布的官方writeup babyfirst-revenge12345678910<?php $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']); @mkdir($sandbo...

漏洞是鹿师傅挖的，但是被无意中爆了出来…心疼鹿师傅… 0x01 简述Typecho1是一个简单，轻巧的博客程序。基于PHP，使用多种数据库（Mysql，PostgreSQL，SQLite）储存数据。在GPL Version 2许可证下发行，是一个开源的程序2，目前使用SVN来做版本管理。 2017年10月13日，知道创宇漏洞情报系统监测到typecho爆出前台代码执行漏洞3，知道创宇404团队研究人员成功复现了该漏洞。 经过分析确认，该漏洞可以无限制执行代码，通过这种方式可以导致getshell。 0x02 复现打开安装好的typecho 生成对应的payload 1YTo3Ont...

原文是我在内部showcase的时候修改而来的，总结了一些这一年接触CSP的很多感想… 前端防御的开始对于一个基本的XSS漏洞页面，它发生的原因往往是从用户输入的数据到输出没有有效的过滤，就比如下面的这个范例代码。 123<?php$a = $_GET['a'];echo $a; 对于这样毫无过滤的页面，我们可以使用各种方式来构造一个xss漏洞利用。 123a=<script>alert(1)</script>a=<img/src=1/onerror=alert(1)>a=<svg/onload=alert(1)> 对于这样的漏洞点...

文章搞得乱七八糟给大家添麻烦了，干货不多，有需要的人阅读就好了，文章首发在seebug paper上。 0x01 前言WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月，约22%的新网站采用了WordPress。WordPress是目前因特网上最流行的博客系统。 在zoomeye上可以搜索到的wordpress站点超过500万，毫不夸张的说，每时每刻都有数不清楚的人试图从wordpress上挖掘漏洞… 由于前一段时间...

节日快乐！！ 0x01 简述Discuz!X社区软件1，是一个采用PHP 和MySQL 等其他多种数据库构建的性能优异、功能全面、安全稳定的社区论坛平台。 2017年9月29日，Discuz!修复了一个安全问题2用于加强安全性，这个漏洞会导致前台用户可以导致任意删除文件漏洞。 2017年9月29日，知道创宇404 实验室开始应急，经过知道创宇404实验室分析确认，该漏洞于2014年6月被提交到Wooyun漏洞平台，Seebug漏洞平台收录了该漏洞3，漏洞编号ssvid-93588。该漏洞通过配置属性值，导致任意文件删除。 经过分析确认，原有的利用方式已经被修复，添加了对属性的formty...