标签:RCE

12 篇文章

thumbnail
简析GXY_CTF “禁止套娃”无参数RCE
Author:颖奇L’Amore (比赛平台id:Y1ng) blog: https://www.gem-love.com 所谓无参数RCE,就是只允许执行a(), a(b())这样的函数,而不允许带参数,比如echo("aa")是禁止的 关于无参数RCE,推荐一篇一叶飘零师傅的文章: https://skysec.top/2019/03/29/P…
thumbnail
简析GXY_CTF “BabySqli v3.0”之Phar反序列化
Author:颖奇L’Amore (比赛平台id:Y1ng) Blog: https://www.gem-love.com 这个题目因为出题人多打了个空格,出现了一个非常easy的非预期。 这题目本意是考phar反序列化,关于phar反序列化可以参考以下文章: https://xz.aliyun.com/t/2715#toc-6 https://p…