红日靶场复现 发表于 2025-01-12 更新于 2025-01-13 分类于 渗透 前言:红日靶场是由红日安全团队搭建的APT实战靶场,相比于春秋云境里的一些靶场会基础一点,做春秋云境靶场的同时也打打红日靶场。(更新中) 阅读全文 »
php|phar反序列化 发表于 2024-12-26 更新于 2025-01-05 分类于 理论 前言:之前有做过一题,但是那时候做的时候是照着wp搬payload并不理解,这一次2024isctf也碰到了一题需要利用到phar反序列化的,所以系统性的学习一下。 阅读全文 »
Node.js|原型链污染 发表于 2024-12-22 更新于 2024-12-26 分类于 理论 前言:做2024isctf碰到的一题原型链污染,之前也碰到过好几次,本来以为已经懂了但是做的时候发现自己还是做不出来。所以进行一次系统的学习。也是顺便简单的学习了一下Node.js(如果有时间的话会出一篇系统学习js的文章) 阅读全文 »
Node.js|node-serialize序列化与反序列化 发表于 2024-12-20 更新于 2024-12-26 分类于 理论 前言:第一次碰到,做2024isctf碰到的一题node-serialize反序列化,之前已经写了一篇pickle反序列化了就顺带再写一篇 阅读全文 »
Python|pickle序列化与反序列化 发表于 2024-12-18 更新于 2024-12-26 分类于 理论 前言:第一次碰到,做2024isctf碰到一题pickle反序列化,看wp的时候不是很理解,所以系统性的学习一下 阅读全文 »
2024isctf|web|复现 发表于 2024-12-17 更新于 2025-01-05 分类于 ctf 前言:战队:Y3N1eGI=,总分:7072,进阶赛道:16,新生赛总体难度还是低的就几道题的难度比较大(未完) 阅读全文 »
DASCTF X 0psu3十一月挑战赛|越艰巨·越狂热|web|复现 发表于 2024-12-14 更新于 2024-12-20 分类于 ctf 前言:之前比赛没有打,本来想24国赛赛前准备做做题选择这个来练习一下,但是做的过程中发现难度过大复现有点挑战(未完) 阅读全文 »
2024国赛&长城杯awd赛前准备|源码审计 发表于 2024-12-12 更新于 2024-12-17 分类于 awd 前言:为了在能打进国赛特地进行一次源码审计的训练,以保证在省赛线下的awd取得成绩。以下几套源码均来自云曦实验室。(未完) 阅读全文 »
云曦期末awd复现 发表于 2024-12-02 更新于 2024-12-17 分类于 awd 前言:考核防御阶段的时候,download文件也没download下来没第一时间放入D盾中扫描,且mysql数据库的配置没改对一直宕机,在攻击时花了半个小时的时间修复导致丢了大部分分,心态有点崩开始搅屎删库。同时考核前的准备太少脚本没有准备好,不死马也没有测好,导致攻击时还在进行各种测试。整场考核下来是这学期发挥最烂的一次各种基础失误,所以考核后开始进行复现(侧重攻击)。(未完) 阅读全文 »