weixin_59166557的博客

原创 A5rZ 的PGP公钥

你可以根据此公钥判断文章或消息是否来自A5rZ。

原创 健康系列: 你缺乏维生素B5吗？什么时候需要使用维生素B5补充剂？

写着玩的，如有疏漏欢迎指出。

原创 健康系列: 你缺乏维生素B3吗？什么时候需要使用维生素B3补充剂？

写着玩的，如有疏漏欢迎指出。

原创 健康系列: 你缺乏维生素B2吗？什么时候需要使用维生素B2补充剂？

维生素B2也叫，英文是，属于水溶性维生素B族。它在体内主要参与能量代谢。身体把碳水、脂肪、蛋白质转化成能量时，需要B2参与。B2还和皮肤、口腔黏膜、眼睛、红细胞生成，以及抗氧化系统有关。这两个辅酶参与很多氧化还原反应，简单说就是帮助细胞完成能量转换。常见食物来源包括：牛奶、酸奶、奶酪、鸡蛋、动物肝脏、瘦肉、鱼类、蘑菇、杏仁、菠菜、强化谷物等。B2有个特点：对热相对稳定，但对光比较敏感，所以牛奶长时间暴露在强光下会损失部分B2。维生素B2就是。

原创 健康系列: 你缺乏维生素B1吗？什么时候需要使用维生素B1补充剂？

写着玩的，如有疏漏欢迎指出。

原创 健康系列: 有机食品是什么？

有机食品是指在生产、加工、运输和销售过程中，遵循特定有机农业标准，不使用或严格限制使用合成化学物质，并尽量维持生态系统平衡的一类食品。有机食品的“有机”，本质上指的是一种农业生产体系，而不是简单的“天然”或“健康”。不使用合成农药和化学除草剂例如大多数人工杀虫剂、除草剂被禁止或严格限制使用。不使用化学合成肥料更倾向使用堆肥、绿肥、动物粪肥等自然肥料。禁止转基因生物（GMO）种子、饲料和加工原料通常要求非转基因来源。限制抗生素和激素使用（尤其在畜牧业）

原创 健康系列: 鱼油补充剂是什么？有必要吗？有什么用？

写着玩的,如有疏漏还望指出。

原创 UofTCTF 2026 Unrealistic Client-Side Challenge - Flag 1

很久没写博客了,第一次拿国际赛难题的血,还是个非预期,写一下。

原创 securinets ctf quals 2025 web all

原创 Ethernaut 1-10

Delegation 的 fallback() 会用 delegatecall 将任意 msg.data 转发到 Delegate。只要把函数选择器设为 pwn() 的 4 字节选择器，Delegate.pwn() 就会在 Delegation 的存储上下文中执行，把 Delegation.owner 改成你的地址（msg.sender）。任何地址都可以通过 selfdestruct 强制接收 ETH（不触发对方代码）。相当于直接给了一个backdoor。我们可以强行拒绝任何转账。

原创 DOM 毁坏利用链 -- Under the Beamers Revenge

启用严格模式后，JavaScript 引擎会进行更严格的解析和错误处理，一些在普通模式下会被静默忽略的错误，在严格模式下会抛出错误。// 注意：当只剩一个 id=Beamer 的元素时，部分引擎会把全局 Beamer 解析为单个元素；Beamer 库的代码在非严格模式下运行，因此容易受到攻击。由于这类库通常需要动态加载（即脚本可能异步或延迟执行），为了避免变量未定义的错误，常见的做法是使用类似。// 3) 赋值失败（HTMLCollection 的命名属性为不可写），在非严格模式下静默失败。

原创 ASIS CTF 2025 SatoNote

处存在xss漏洞我们需要让bot携带才能显示flag。

原创 基于错误xsleak 悬空标记 使用css利用帧计数 -- Pure leak ASIS CTF 2025

把 CSS 写进查询串，404 页就会把这段 CSS 放进正文，而且不在任何注释里。**window.length 表示当前窗口中“子浏览上下文”的数量，即 frame/iframe 的个数。/* 命中 :valid 时，整个容器 display:none，从而阻止 <object> 创建 NBC */如果服务器配置为显示错误（通常在开发环境），这个警告就会直接输出到响应体的开头。// 整体重写新文档：样式在前，元素在后，让样式在解析阶段就生效。// 简单日志（中文注释，不改动代码逻辑）

原创 N1 junior 2025 safenotes

然后最幽默的一点是，我当时第一时间想的就算baseurl,然后deepseek瞎扯跟我说在div里影响不到外面,直接导致我完全偏离正确轨道疯狂尝试xss突变突破div,研究几个小时没研究出来。到了晚上这题竟然还没解，私聊出题人跟我说比较接近了,然后我就试了一下baseurl,发现竟然能行。一开始ai跟我说这里有语法错误,然后我一顿看Puppeteer的源代码发现其实没错误。这道题说实话挺简单的，可能是国内的比赛xss确实考的少吧,我比较喜欢打国际赛。然后就算主页面的地方，有个。如何快速验证规范化结果。

原创 sekai 2025 Notebook Viewer

CTF题目名称 Notebook Vieweradmin bot${SITE${FLAGframe.html</*,*::before,*::aftermargin;padding;box-sizing;;font-size;;</</// 获取当前页面的URL对象letnewURL;// 获取URL参数中的note字段constget"note";// 获取页面中id为note的元素const'#note';if// 如果note参数存在，则将其内容显示在页面上;else。

原创 hintcon2025 Verilog OJ

iverilog编译） ->中间字节码judge) ->vvp仿真执行） ->输出结果/波形+----------------+ 编译 +-------------+ 执行 +---------------------------------+所以，iverilog和vvpiverilog是前端，负责语法和逻辑分析。vvp是后端，负责模拟电路在时间维度上的实际行为。这种将编译和运行分开的架构非常灵活，编译一次（可能很耗时）后，可以多次快速运行仿真，并且vvp还可以被其他工具调用。

原创 hintcon2025 Pholyglot!

通配符的优先顺序按照ASCII码排序,但是我们即使利用通配符也无法利用三个字符将内容写进四个字符的文件名里。或者说现在可用利用通配符顶替一个参数的位置,剩下两个字符可用,还有那些可执行文件可像ls这样利用吗?~~sh似乎可行，但是写入的文件有大量垃圾数据,我怎么写入数据才能让其sh时候正常执行?#任意命令执行 #php #sqllite #sql注入 #字符数限制。~~/bin/rm -rf 遇到特殊文件名会发生漏洞吗？开头的文件,如果按照此方法我们只能之星三个字符的命令。FQEF 拼了好几小时不想拼了。

原创 hintcon2025 Note

web。

原创 hintcon2025No Man‘s Echo

web代码如下我们先搭建容器并尝试查看所有容器内占用的端口容器内监听端口:TCP 127.0.0.11:36667（Docker 内置解析相关，LISTEN）UDP 127.0.0.11:50180（Docker 内置解析相关）dockerfile这个-d FOREGROUND 参数代表着什么?我们能向任何端口发送任意数据服务器让我们返回一个有如下字段的json {“signal”:“Arrival”,“logogram”:“php_code”}80/36667/50180端口可利用吗?

原创 hintcon2025 IMGC0NV

管道（Pipe），在 Linux 和类 Unix 系统中，是一种非常强大的**进程间通信（IPC）**机制。将一个命令（进程）的标准输出（stdout）直接连接到另一个命令（进程）的标准输入（stdin）。它使用竖线符号来表示。管道是 Linux“一切皆文件”和“小工具，大协作”哲学思想的完美体现。在深入之前，必须理解文件描述符是什么。在 Linux/Unix 哲学中，“一切皆文件”。真正的磁盘文件目录硬件设备（如键盘、鼠标、硬盘）网络套接字管道 (pipes)

原创 JSONP 回调函数注入 -- idekctf 2025 jnotes

机器人逻辑如下index.jsnotes.ejsview.js。

原创 悬空标记攻击 -- idekctf 2025 CTFinder

generate_key 只取前128位,且其时间单位最小是秒,这给了我们利用条件竞争的机会，让两个有效负载命中同一个缓存键来绕过waf。但是如果我们注入具有相同元素 ID 的链接，机器人会点击我们的链接，重定向到我们想要的任何地方。Transport Type 选择 STDIO 的时观察到前端发送的参数被当作命令执行了。让更多的内容被认为是message user，包括那个按钮的属性！远程靶机并不开放此端口，看来下一步我们需要想办法访问此端口。bot运行在5010,接下来寻找调用此端口服务的地方。

原创 json 特性 -- justctf 2025 Ticket Master

'section''''seat'首先其需求一个json我们没有key,所以唯一合法的票证是传递空票接下来程序利用这些数据生成图形化票证type。

原创 css leak 利用完整性校验 -- justctf 2025 Notes

【代码】css leak 利用完整性校验 -- justctf 2025 Notes。

原创 css leak -- justctf 2025 Simple Tasks

是 CSS 中用于存储可重用值的强大工具，语法简洁且功能灵活。

原创 原型污染 -- justctf 2025 Positive Players

会自动向上寻找并污染原型链,接下来我们用toString身份登录获取flag的时候形成如下语句。只要我们不提供密码,我们就能将原型链上的任何键作为用户名登录。但是实际上我们根本不需要这些属性访问原型链。当我们以普通用户登录合并时。题目并没有过滤用户名。

原创 缓存投毒进阶 -- justctf 2025 Busy Traffic

缓存键仅由 HTTP 方法、主机名和路径组成，默认情况下甚至不包括查询参数缓存键完全忽略了 Range 请求头，这意味着具有不同/没有 Range 的请求会命中相同的缓存条目。如果服务器后端没有正确处理host头,缓存中毒有可能使得攻击者凭空捏造出内部内部可访问的url(我们只需想办法配合题目不缓存参数的错误从服务器上凑齐如下“ROP”的方法即可。服务器使用了此插件，插件存在默认不安全行为，忽略查询参数作为缓存判断的关键。我们还可以利用这一点使得不同的路径返回同一文件的不同部分。

原创 xss利用搜索侧信道 -- GPN CTF 2025 smile-at-me

仔细观察,我们能注意到机器人端（NodeJS URL / Puppeteer）再解析一次同一个 URL 才真正发请求。这两套解析器并不完全一致，出现了解析差异的可能（parser differential）。只有滚动到可视区域的图片才会真的发出 HTTP 请求。我们把自己的 webhook 图片放在离顶部很远的位置；只有当浏览器因为 STTF 滚动到这一行时才会触发请求。浏览器访问 URL#:~:text=<要搜索的字符串> 时，会在页面加载完毕后自动滚动到第一个匹配的位置。对域名的校验逻辑如下。

原创 Puppeteer 相关漏洞-- Google 2025 Sourceless

题目的代码非常简单,核心只有这一句。

原创 python 原型污染 perl符号表污染 -- Google 2025 MYTHOS

题目实现了一个Game,分为前后端。

原创 js 允许生成特殊的变量名 基于字符集编码混淆的 XSS 绕过漏洞 -- Google 2025 Lost In Transliteration

题目实现了一个字符转换工具在/file路由用户可以通过 ct 参数自定义 Content-Type当 HTTP 响应头或 Content-Type 指定了 charset=x-Chinese-CNS，浏览器会用 CNS 11643 这个字符集来解码响应体的字节流。CNS 11643 是一种多字节编码，很多单字节（如常见的 ASCII 范围）在 CNS 11643 下会被解码为完全不同的字符，甚至是不可见字符或特殊符号。

原创 JS Hook -- Google CTF JS Safe 6.0

但是你应该能注意到,如果找不到第一个字符,就不会进入下一层,我们可以尝试hook来判断是否进入下一层。如果你尝试过单独提取加密逻辑,就会发现其核心加密逻辑中的 .step 受到代码其他部分多处影响。* @param {string} s - 需要加密的字符串。* @returns {string} 加密后的字符串。此题目的目的是寻找密码，题目拥有极端的反调试。// ROT47加密变后拆为数组。// 移除flag数组左侧第一项。// 线性同余生成器。// 移除右侧第一项。// 全部为空则成功。

原创 yaml 导致的原型污染 -- GPN CTF 2025 Secure by Default

不难注意到,题目有一个危险的中间件,我们可以污染此处的unsafe运行我们加载任意函数。

原创 GraphQL注入 -- GPN CTF 2025 Real Christmas

服务器会每段时间禁用已注册的账号,此处存在漏洞服务器后端拥有一个提升权限的功能由此写出。

原创 使用CSS泄露标签属性值 url路径遍历攻击 -- GPN CTF 2025 PAINting Dice

ai向我描述了一种攻击方式，CSS选择器攻击,但是在本挑战中由于作用域的问题无法使用。将data-csrf转换为颜色，当管理员访问页面并截图时，攻击者从截图中提取颜色值。adminbot 存在一个漏洞profileId可以为任意内容。我立刻意识到可能可以控制特定参数造成xss,或削弱xss防御。管理员bot拼接url路径时未过滤。我们的目标是获得admin权限。这允许我们进行url路径回退。

原创 xss利用meta强制跳转 CPS report-uri 报错泄露利用 -- GPN CTF 2025 Free Parking Network 1 2

在此题目中,我们可以指定html与标头alert1</服务器会返回如下内容</</</alert1</</</我们发现返回中存在一个严格的标签使得我们无法执行继续查看发现此标签来自这段代码${${${如果用户拥有damin权限则不会有此限制flag在flag网站中，但是此网站是未被批准的此处还存在类似模板注入的漏洞。题目中存在一个明显的漏洞,导致任何人都可以是admin。

原创 xs-leak 使用链接访问后显示不同颜色的特性 -- smileyCTF Sculpture Teemo‘s Secret

是一种利用浏览器特性来探测用户访问历史记录的隐私泄露漏洞。由此可以得出此题目的解决方案,即重叠n个flag提取其颜色细微差别。在此挑战中,我们可以使用特殊字符。CSS 历史泄露漏洞（也称为。将多个样式重叠并显示为不同颜色。

原创 xss 浏览器插件绕过 -- smileyCTF Extension Mania

可以从URL中提取protocol、host、hostname、port、pathname、search和hash等部分。提供了params()、updateSearch()、setQueryParam()等方法来操作URL参数。使用正则表达式验证URL格式：/^([a-zA-Z]+://)重定向URL包含被阻止的hostname和阻止原因作为参数。// 注意：此URL格式包含凭据信息，可能存在安全风险。// 3秒后重定向当前页面到特殊格式URL。// 打开新窗口/标签页访问指定URL。

原创 Skulpt 导致的 xss -- smileyCTF Sculpture Revenge

此处的值取决于用户的host头,如果题目可以出网,可以将flag导向任意网站。题目使用Skulpt,既然目的是xss,我们问问ai这个库能不能操纵html。但是很遗憾,远程不允许我们这么做,但是html似乎是不安全的。我在比赛中发现了一个本地有效的方法,但是远程无效。

原创 H&NCTF 2025 Just Ping Write-up

本文分析了Go Web应用的路由实现和两个API处理逻辑。路由部分注册了/api/ping和/api/testDevelopApi两个接口，并设置了静态文件服务。PingHandler实现了网络连通性测试功能，支持跨平台ping命令执行和实时输出流式返回。DevelopmentHandler提供了开发环境命令执行功能，采用对象池优化内存分配，支持带引号的参数解析。两个处理器都包含完善的参数校验和错误处理机制，体现了安全性和性能优化的设计考虑。