沙箱逃逸https://zhuanlan.zhihu.com/p/578966149

随手记1.Java源文件以.java为扩展名，源文件的基本组成是类（class）2.Java应用程序的执行入口为main()方法，格式：public static void main(String[] args){...}3.严格区分大小写4.一个源文件最多一个public类，且文件名同此类名5.其他类个数不限，可将main方法写在非public类中，然后指定运行非public

《利用canvas将js代码隐藏到png中实现xss——关于HITCON CTF 2023一题都写不出来在网上找到一篇文章这件事》https://choudalao.com/article/267一些别的：https://hackernoon.com/host-a-web-app-on-twitter-in-a-single-tweet-9aed28bdb350https://www.runoob

https://hackmd.io/@sahuang/rkHD37ZA3啥也没写出来，留个记录 warmup-revenge文件上传+xss 查看源代码，注意到有bot.js，打开文件有setCookie函数，确认xss可能有两个关键页面：download.php：用来下载上传的文件 123456789101112131415161718192021222324252627282930313233

Brute Force这里要求爆破 LOW直接爆破，猜到弱密码admin/password也可通关，没啥防护 Command InjectionLOW无防护的命令注入，使用|连接想要的命令即可 File InclusionLOW查看源码，直接GET传参即可，如http://127.0.0.1/1.php这里allow_url_include被禁用，需手动开启 Cross Site Request

写出来的My boss left下载原代码查看关键语句： 12$valid_password = 'dGhpcyBpcyBzb21lIGdpYmJlcmlzaCB0ZXh0IHBhc3N3b3Jk';if ($login_data['password'] == $valid_password) 只要密码正确即可获得flag抓包修改即可 unsecure由简介

xss笔记原理将恶意脚本注入受害者浏览器，使其在浏览器中运行 分类1.存储型恶意代码上传至后端，当管理员查询信息时触发如：利用GET、POST或在Referer（xsslab 11）、Cookie（xsslab 13）植入2.反射型需要用户点击触发，在前端显示，一般盗取用户Cookie，较为常见如：假设有如下代码： 1<?php echo $_GET['name']; ?

https://paper.seebug.org/560/ 代码相关1234$_FILES\[‘file’][‘name’] 客户端文件名称$_FILES\[‘file’][‘type’] 文件的MIME类型$_FILES\[‘file’][‘size’] 文件大小 单位字节$_FILES\[‘file’][‘tmp_name’] 文件被上传后再服务器端临时文件名，可以在php.ini中指定 文件

https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection 模板类型判断 可用判断语句${{

Pass 1F12查看前端，可知仅为前端过滤，浏览器禁用脚本即可 Pass 2MIME检测抓包更改type字段即可 Pass 3后缀名检测更改文件后缀即可，如把php改为php5 Pass 4黑名单绕过.htaccess文件绕过生成文件.htaccess写入SetHandler application/x-httpd-php将该文件上传至服务器修改一句话木马为图片后缀 Pass 5黑名单绕过过滤为