记一次GZCTF搭建及动态容器
前言:因为学校需要招新生要搭建平台,简单的学习了一下。 GZCTF配置 环境 ubuntu 22.04 第一步 更新源 1sudo apt update 第二步 安装docker和docker-compose 1sudo apt install docker.io docker-compose 中途按Y和Enter即可。 第三步 docker换源 由于docker今年在中国地区的限制,
nepctf2024复盘
Misc Nemophila 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566import base64print("这里有一个藏宝室,镇守着一个宝箱怪,当你说出正确的口令时,你也就快获得
Basectf2024
Week1 Crypto hello_crypto 12345678910111213141516171819from Crypto.Util.number import long_to_bytesfrom Crypto.Cipher import AESfrom Crypto.Util.Padding import unpad# 已知的 key1 和密文key1 = 20879775995
深入浅出PHP强弱比较
鉴于最近打的一个比赛,来了解一下ctf中经常出现的弱等于强等于的问题 PHP弱类型 Q1:二者弱比教 这部分内容自己检索,简要的说==的情况下,左右两边的类型会进行转化。 举个例子来说 123456789<?phpshow_source(__FILE__);$a=$_GET['a'];$b=$_GET['b'];if($a != $b&&a
dasctf夏-复盘
孱弱,打是一打一个不吱声的,赛后跟着师傅复现一下 Misc png_master 第一部分:010分析,结尾有类似base64解密的部分提取出来解密 得到第一段内容 Congratulations on finding the first paragraph of flag, but the understanding of png is just beginning. flag1:DASC
sql注入总结
前言:系统的再复习总结一次sql注入,最近比赛比较少见了,但还是要学会的。 一、sql注入的概念 SQL注入(SQL Injection)是一种网络攻击技术,攻击者通过在输入字段中插入恶意的SQL代码,利用应用程序对用户输入处理不当的漏洞,诱使其执行未经授权的SQL查询。这种攻击可以导致数据库中的敏感数据泄露、数据篡改或删除,甚至让攻击者获得对整个数据库系统的控制。SQL注入常见于不安全的Web
ssti模板注入学习
前言:主要讲的python的jinjia2,如果以后遇到其他相关的会继续补充。 参考文章: 1.SSTI(模板注入)漏洞(入门篇) 2.SSTI模板注入总结 3.Python模板注入(SSTI)深入学习 4.SSTI模板注入绕过(进阶篇) 5.CTFshow刷题日记-WEB-SSTI(web361-372)_ctfshow ssti 371-CSDN博客 一、基础知识 1.初步了解 SSTI就
xxe漏洞学习
前言:深入浅出的学习一下xxe漏洞 参考文章: 一篇文章带你深入理解漏洞之 XXE 漏洞 XXE漏洞详解(全网最详细) 【CTF-Web】XXE学习笔记 一、XXE 是什么 在了解xxe之前,需要了解一下xml注入,通常都是逻辑漏洞,如下内容 能插入xml代码,肯定还想要更多骚操作,于是就出现了xxe XXE(XML External Entity Injection) 全称为 XML 外部实
