这个项目是LCTF2017的web题L_PLAYGROUND的开放源码。
- 搭建指南在
./doc/build.md - writeup在
./doc/writeup.md
Advisory: HTTP Header Injection in Python urllib
Hack Redis via Python urllib HTTP Header Injection
How I Chained 4 vulnerabilities on GitHub Enterprise, From SSRF Execution Chain to RCE!
这个题目我觉得只能说一般,利用到的点都没有很新,也没有我独自发现的漏洞点。这道题也不是漏洞的生产者,只是漏洞的搬运工。
在布置环境里,疏忽之间就把sesstings的pyc给删了,导致失去了重要的线索,万幸没有给师傅们造成太大的影响。(毕竟这道题过去一个月了,很多地方都忘记了
还有比较坑爹的一点是,redis的配置内容,比如password、profix是假的,很尴尬。所以有了如下的描述:
万幸的是,LCTF2017顺利结束了。比赛期间(周末)过得很充实,事情很多2333。希望Lteam和XDSEC越来越好。