这次鸽了快两年的XCTF高校挑战赛和TCTF冲了，于是一边当客服一边打比赛（雾最后小伙伴们AK夺冠，tql！！ zzzcms 0day国内出CMS题和zzzcms过不去了是吧，天天出前台RCE，下次我也整一个（手动滑稽）……这次是最新版，我们先来看看历史漏洞的修复情况： 1.7.5/2.1.0前台RCE更多绕过过滤的变种就不看了，这两个洞需要控制 /search 的keys参数渲染模板，在最新版中参数需要通过一个 safe_key 函数： 12345678// 安全过滤字符串，仅仅保留 [汉字、数字、字母及=<>,_/]，最长255字符function safe_key( $s , $len=255) { $s = decode(is_array($s) ? @implode(",",$s) : $s); preg_match_all('/[\x{4e00}-\x{9fa5}a-zA-Z0-9<>,.:=@?_\-\/\s]/u',$s,$ ...

请不要直接拷贝运行本文中的脚本！需要根据你博客的设置进行修改。迁移前务必备份数据。迁移前务必备份数据。迁移前务必备份数据。 经过了5年时间，typecho和handsome主题伴随着我的博客走到现在，在此向各位开发者表示感谢。然而，随着时间的推移以下问题越来越凸显： typecho及插件年久失修。虽然前些日子typecho诈尸了1.2版本，但各种插件基本都躺尸了，兼容问题很难解决。 handsome主题代码膨胀。目前最新版8.4.1仅php就有2w左右LoC，因为要支持各种需求作者添加了很多新功能导致代码量增长很快。这里绝对不是批判的意思，这个主题可以说是typecho第一梯队模板之一了，要不然我也不会用了5年。可惜很久以前我就用不到更新的新功能了，因为没有公开repo，每次更新还需要自行维护版本修改自定义内容，说实话挺累的…… 安全性问题令人担忧。typecho、插件以及主题暴露的攻击面实在是无法控制，php又是一门神奇的语言，上面两个问题更加剧了这一点。虽然我做了容器化但问题依然存在。 年初就想迁移了，但由于各种事情一直拖着摆烂，而压垮骆驼的最后一根稻草是一周前有无聊的人来 ...

本次字节CTF可能因为疫情原因全部改成线上了，正值期末原本打算直接开摆摸鱼，不过星期天下午学弟发消息求救golang的ssti，想着之前特地研究过一段时间go的安全问题，TCTF还出了一道go的ssti，最后摸鱼做了一条，没想到机缘巧合下最后还成了胜负手，小伙伴们tql～ babyweb题目没什么其他东西，给了Dockerfile，学弟已经找到了注入的位置是注册的用户名，输入 {{7*7}} 在log的地方会报错，输入 {{.}} 会打印一堆东西这个我可太熟悉了，一看就是 gin.Context 打印出来的东西，估摸着后端是直接把c传进template中，然后用户名是可控字段，最后渲染返回，观察了下有个很明显的session，或许可以搞出cookie secret（虽然不知道有什么用）。 gin中 c.Keys["github.com/gin-contrib/sessions"].(*sessions.session) 储存的就是session对象了，因为类型没有导出，go templa ...

新一年校赛，奖金越来越多了（想起第一届只有几百块奖金……），不过即使如此每年也只能选出个位数的新人，CTF相比OI毕竟还是太硬核了只能沦为小众（半斤八两吧）。由于上课磕盐比较忙，原本想着出几道web几道misc结果都鸽了直接摆烂，只能弄个传统艺能KoH算了…… darkforest 花了周末一天的时间写了个游戏，服务端大概1k行golang，加上几百行的web前端显示结果。由于平台年久失修都是大几年前slipper等前辈写的根本不支持KoH，想了一会还是催更tkmk加了个token验证的接口，然后比赛结束后手动更新数据库分数23333 题目背景是三体的黑暗森林，配合PUBG的吃鸡玩法，加上了csgo武器、水滴、智子、二向箔之类乱七八糟的东西，玩家可以在地图上拾取flag并攻击其他玩家捡取掉落的包，每秒1个tick总共1000tick一轮，活到最后的玩家可以获得背包里flag数量的分数。因为服务端每秒结算1个tick，并且提供了源码，所以一开始可以通过手操的方式和观察代码了解操作opcode，然后写程序自动化挂机（类似screeps）。原本预估20-30人玩结果最后只有5、6个活人……哎 ...