- 博客(22)
- 收藏
- 关注
RSS订阅原创 BUUCTF-[0CTF 2016]piapiapia-WP
首先就是要求phone/email/nickname/photo这四个都存在,然后把上传文件存到 upload下(以MD5命名),再把这phone/email/nickname/photo四个传到$profile里,最后。序列化字符串里有长度标记,比如 s:5:“photo”,你再替换内容会改变长度,导致 unserialize() 时“字符串逃逸/错位”这里其实就是可以理解用于拿一个正常账号,方便后续进入 update.php/profile.php。
2026-04-13 23:44:55
353
原创 one_line_php-wp
文件包含 + php://filter 过滤链。session.upload_progress 会话文件写入。条件竞争payload 编码稳定性(3 层 base64 + 避免 =)这里了解到了php://filter 过滤链发现这个是真的强,又去学习了一下浅谈Filter链 - 探姬的技术测试。
2026-04-13 22:05:28
360
原创 2026红明谷
战队名称:Hex404战队排名:27解题情况:这题本质上是两个经典题型拼在一起:题目名字里提到 LCG 和 LHNP 很像,其实就是在引导你把“随机数恢复”和“格攻击”连起来看exp.pymisc-Model-Entropy模型权重取证notebook 只是伪装,模型结构本身很简陋观察到 参数规模明显异常验证其余三层都与 的随机初始化完全一致说明只有 被修改过将 按 分析,发现差异全部是最低位翻转证明信息被藏进了 的 LSB提取 bit 流后得到一串异或密文用 做已知明文恢复出密钥 完整
2026-04-08 22:27:40
421
原创 第一届 Polaris CTF 招新赛(部分web) wp
应急响应的比赛打完再来看的,就看了几个解题最多的,还有几个也能解不过周末嘛!出去浪了,后面那个渗透靶机打了一半,找个时间复现一下。。。
2026-04-07 17:29:17
349
原创 25楚慧-web(ai版)
本题主要考察了在受限 Shell 环境下的命令注入绕过技巧。利用通配符绕过字符串黑名单。利用协议作为替代的文件读取手段。利用命令替换$()组合多个命令。整数溢出:利用 NumPy 的数据类型特性绕过逻辑判断。SSTI WAF 绕过:在极其受限的环境下(无{{)利用 Jinja2 特性构造利用链。Linux 提权:利用 SUID 配置错误的二进制文件(GTFOBins 技巧)读取敏感文件。题目名称:Fisafopil题目内容。
2026-03-15 23:01:06
397
原创 qsnctf-两数之和
最开始想着用ai结合写个脚本的,但想着新生赛就做着完吧,自己编程能力都好像下降了,这里按照自己的思路想法去做题目。这里先测试连接,看眼题目是什么样的,根据要求就用最简单的for循环去做。再去定义一个函数从字符串中解析出列表和目标值。最后定义主函数,测试的时候发现计算一百轮题目。
2026-03-15 22:54:50
26
原创 2026i春秋冬季赛靶场赛wp
点击任意用户的编辑按钮可以修改密码和权限,这里zs的密码改为123456,角色这里我也改为admin(好像没有影响)这里我们需要写钓鱼邮件去发送给admin用户(注意,这里可以使用exe的客户端,需要免杀)所以猜测8080用户名和密码为admin/123456。这个页面像邮箱管理,看这个图标也能看的出来。这里就用刚才的用户名和刚该的密码去登陆。剩下的别人不做我也不做嘻嘻嘻嘻!所以第一题答案为123456。这里的用户名和密码也不知道。这里的用户名和密码也不知道。题目场景,有两个ip。
2026-02-10 11:56:32
534
原创 2026春秋杯网络安全联赛冬季赛 个人赛web部分题解
进入题目一个登录页面根据提供的账户密码登录,这里再跳转的同时发现猜测下面的session就是我们admin 所需要的,讲testuser换成admin,session替换重发这里没看见flag,猜测会有admin后台直接访问,拿到flag也是侥幸拿下1血,打ctf这么久的第一个一血。
2026-02-02 00:21:10
1110
4
原创 pyjail刷题
这里可以看见回显0,这里代表已经运行成功了,但是依旧看不见想要回显的东西,我们需要的是响应流或者文件对象所以需要。popen 提供了输出管道(可读对象),system 只给退出码(int)但是又回显,也就是这里返回的类型是整形,这里问题出现在函数。是“文件/流对象”,也即是说需要以一个文本的方式去读取,,而我们需要的是数据可接受的对象,所以这里换成。这里没有输出那再原基础上加一个print()我们可以看见去掉之后回显的是一个对象。构建payload,这里直接去运行。
2026-01-04 22:45:44
331
原创 2025ciscn初赛(部分题解)
题目难度不小,看着很多题目被解烂了再去尝试解题的,不然真的做不出来,还有题ai安全只能说幸好暑假的时候练过一段时间,也打过相关比赛,但是都是用ai来做ai安全的题,但是这个知道怎么去入手就发现轻松一点了。
2025-12-28 23:50:05
685
原创 ISCTF部分web题解
Bridge 随后返回 Shark对象,api.php 对其进行 echo,触发 Shark::__toString() -> apply()这里可以将任意字符串写入/tmp/ssxl/run.bin。Writer::fetch()----> write_all(),这里可以将 Base64 解码后的数据写入 /tmp/ssxl/write.bin。这样的🐎,然后软连接指向🐎,但是发现题目没有想的这么难,发现可以直接上传软连接然后直接指向flag常存放的位置。
2025-12-22 16:26:57
997
原创 ctfshow-web入门-php特性下(web130~web150plus)
被设置为 phpinfo,所以 if(class_exists(‘phpinfo’)) 会被执行,因为 phpinfo 不是一个类名,class_exists 返回 false,当代码试图访问一个未定义的类(这里既要求 ctfshow 前面不能有字符,且(String)$_POST[‘f’]强制类型,这么想web130还可以使用数组没考虑全面,但又要求得找到字符串 36Dctfshow,这里就要引用一个知识点。call_user_func 是 PHP 中的一个函数,它用于调用由用户定义的回调函数。
2025-12-21 00:15:00
1043
原创 php代码审计学习——2(文件包含+文件上传)
文件上传本质:攻击者绕过前后端的安全校验,将恶意脚本上传到服务器并让 Web 服务执行它,从而实现 RCE产生漏洞需满足三个条件上传的脚本能被服务器保存并保持可执行内容上传目录可被 Web 访问(可直接访问 URL)上传文件能被服务器解析为脚本(如 PHP)
2025-12-10 23:49:43
962
原创 2025长城杯-暨京津冀蒙网络安全技能竞赛(web部分)
2025长城杯web题解+2023ciscn_unzip有个签到题就不想加上了(懒)!!!
2025-09-16 13:49:13
1466
原创 L3HCTF部分web
文章摘要:题目《best_profile》涉及一个使用Flask框架构建的用户信息管理系统。通过源码审计发现存在SSTI漏洞,攻击者可利用nginx缓存机制,先通过伪造X-Forwarded-For头注入恶意模板,再通过访问相关页面触发模板渲染执行任意代码。提供的Python脚本展示了如何利用该漏洞进行攻击。
2025-07-23 20:32:11
842
2
原创 安装Centos7.9换清华源
这里有个点需要注意的是,因为我下的不是mini版,在软件选择这里可以勾选上开发工具,这样像基础的vim,wget这些都可以用,当然也可以不勾选,之后就是这个以太网,vm连接我是选择net模式,如果是桥接这里也可以关闭,安装完成后去设置静态的,这里不多赘述,我这里为了方便就打开了。这里更换的就是清华源,还有就是官给的源也是一样会失败,跟阿里云的一样,官方源(归档仓库)是速度慢,不是失败。这里注意,进入之后会发现更换的阿里云的源安装不上去,这里其实就是阿里云的源不在更新了。其次就是ssh连接,输入。
2025-07-19 18:31:26
1384
6
原创 7.6刷题日记
打开就是文件上传的题目,这里就随便上传了个文件看看最终上传的位置,上传一句话木马尝试。入口就是get传参filename,但是这里有点不懂 的地方就是再function。这里是用phar做到反序列化,可以看到这里用了存在漏洞的file_exists函数。这里就挨个访问看看,到class.php看到有代码,发现是反序列化。在atg这里上传成功,得到上传的路径uoload/phar.atg。这里一眼就锁到了tostring函数那里的出口,现在就是往上找。这里的绕过方案是防止上一题的解决这里也看了下加强前的题。
2025-07-06 17:18:20
1940
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人