2020-07-30 Web安全 // 文件包含漏洞(File Inclusion) 前言这周第一次尝试了正经的 CTF 比赛, 虽然吧一题也没做出来 ,但总归也是有所收获。路漫漫其修远兮,吾将上下而求索。Go Fight ! Read More
2020-07-26 XCTF系列 // Web | php_rce & Web_python_template_injection 前言 这两题涉及到的知识点有,ThinkPHP 的远程代码执行漏洞 以及 Flask的 SSTI 漏洞(服务端模板注入) 。 Read More
2020-07-23 XCTF系列 // Web | unserialize3 前言 本题涉及到的知识点主要有,PHP 对象的序列化与反序列化 以及在反序列化中的 __wakeup() 函数漏洞。 Read More
2020-07-11 XCTF系列 // Web ez题 Writeup 前言: 最近注册了攻防世界的账号,so 先把 WEB 的简单题做了熟悉一下平台操作,借此博客整理记录一下 EZ 题中相对较难的一些题目的题解和相关知识点。 本文涉及的部分知识点:PHP弱类型比较、命令执行漏洞 Read More
2020-06-17 Web安全 // CSRF(跨站请求伪造) 一、简介 跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 Read More
2020-06-05 使用 hexo + github 搭建免费个人博客教程 前言: 最近也没学啥新东西,恰巧看到学长在搭自己的博客,然后兴趣使来,就也想整一个简单的个人博客,然后由于种种原因,这个过程进行的并不是那么的顺利,于是就有了这篇博客,借此记录也希望观者能顺利的搭建属于自己的个人博客。(PS:今天刚整明白搭博客,还没搞明白图片的插入以及美化排版啥的,先将就着看看hh) Read More