0%

0x00 前言

​ 这一段正好在学JavaXXE。今天刚好做到了[GoogleCTF2019 Quals]Bnv。看了WriteUp之后感觉自己又学到了好多。在这里记录一下吧。

Read more »

0x00 前言

​ 在BUUCTF做到了[CISCN2019 华东赛区]WEB11这道题。虽然只是一道很简单的SSTI,网上也很容易找到Payload。但是鉴于我找到的和我自己的Payload都不能用,这说明比赛时我不一定做得出来,于是在此记录并且浅谈Smarty SSTI

Read more »

0x00 Perface

​ 这次比赛再次让我意识到了自己很菜,队友疯狂c,呜呜呜,希望下次可以多做几道题目。

Read more »

0x00 前言

​ 最近在实习,渗透跟CTF真的差距很大,既然如此,我就去学一下在实战环境中比较常见的Oracle数据库注入吧。毕竟sql注入这个东西在CTF中已经被玩坏了。想在大型比赛中看到正常的sql注入简直就是天方夜谭。只能靠自己的学习以及实战环境的摸索了。

Read more »

0x00 前言

​ 考试周摸鱼还是快乐了,做web是真的快乐。转回这道题目,挺有意思的一道题目,记录一下吧。

Read more »

0x00 前言

​ …有一说一,赵总的BUUCTF上的这道题目并没有复现到精髓。其实感觉出题人的题目本身没有那么简单的,只不过非预期实在是太简单惹。

涉及知识点:

1.php中protected变量反序列化的小Trick

2.获取任意文件读取权限后的文件绝对路径的查找

Read more »

0x00 前言

​ 这就是传说中的网鼎杯吗?受教惹。幸好我们3个人人都没凑齐,只是为了看题目而打比赛的,要不然非要被这比赛给气死。就这么多吧,总结一下学到的东西。

涉及知识点:

1.Nodejs的原型链污染

2.js的遍历特性

Read more »