记一次信呼OA的代码审计(后台竞争RCE)
Here's something encrypted, password is required to continue reading.
Adv-Makeup复现以及patch
背景Adv-Makeup是由腾讯优图实验室提出的一种可以在物理世界进行黑盒攻击人脸识别模型的一种方法。 Deep neural networks, particularly face recognition models, have been shown to be vulnerable to both digital and physical adversarial examples. How
强网杯wp
PyBlockly 脚本爆破特殊字符绕过,__import__可以导入模块。覆盖python内置函数len,使其恒返回1 123456789101112import unidecodechar_range = range(0, 10000)converted_plus_chars = []for i in char_range: char = chr(i) if unidecode.u
强网拟态wp
capoo1capoo=file:///var/www/html/showpic.php 读源代码 12345678910111213141516171819202122232425262728293031323334353637383940414243444546<?phpclass CapooObj { public function __wakeup()
网鼎杯wp
web02/content/2be2d1fe51125decd59e33b2092ac922可以xss。但是应该不出网。 发现有个/flag,得boss访问,很明显就是xss访问然后外带数据了。 一开始没想到回显办法,后面直接往/content/2be2d1fe51125decd59e33b2092ac922发POST请求,写到我们的todo list里。 由于不出网,不能直接用容器地址,测试发现
susctf2024-web-wp
vote now12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091import requestsimpo
ciscn2023华东北awdp
这段时间忙着考研,很久没有写博客了。这次国赛被神级逆向带进了半决赛,也算是第一次打awdp,记录一下吧。 第一次打awdp,队友实在是给力,最终拿到了15名,虽然有一些小小遗憾没有进决赛,但也基本上是满足了(甚至说有点意外,因为我几乎没做准备)。比较惭愧的是我们完全没拿到攻击分,靠着恰patch分进的15名😭。 search123456789101112131415161718192021222