台部落fly夏天

本文主要記錄了vs生成的flask項目的發佈流程。網站發佈flask項目到iis的教程很多，但是通常的項目發佈和vs上生成的flask項目結構不太一樣。（爲了什麼別的IDE生成的項目都沒有runserver，搞得我一臉懵逼）鬼知道我

2020-06-21 19:48:49

先來看題目，題目說是php_unserialize可見是php序列化的題目。打開網頁時一段源碼 <?php class Demo { private $file = 'index.php'; public func

2020-06-21 19:48:49

剛打開網站點擊各個按鈕發現除了一個index頁面，沒有別的變化。嘗試掃描，沒掃出東西，看來問題就在這個index頁面上了這裏我嘗試查看了源碼，並沒有發現啥有用的東西。只有一個可傳參的參數page。拜讀了大佬的攻略，才發現可以利

2020-06-21 19:48:49

題目一打開就只有上傳界面習慣性的後臺掃描一下沒有可以頁面，看來目標就在這個上傳功能上面了。嘗試上傳php文件，報錯。這裏我嘗試傳了一個圖片馬，能成功上傳但是菜刀無法執行。 f12檢查源碼，發現前端有一個js驗證，有一個白名單過濾，

2020-06-21 19:48:49

復現平臺：buuctf ，該題很有意思因此記錄一下。打開頁面，乍一看以爲是一個廣告頁，目錄掃描也沒有出現東西。使用brupsuite抓包發現有個Secret.php的鏈接，點擊訪問。X-Forwarded-For: localho

2020-06-21 19:48:49

SQL水平太菜了，因此專門復現一輪SQL注入再學習一下。 1.強網杯2019隨便注嘗試 1 'and '1'='1 成功回顯，存在注入點。但是題目有很強的過濾。考慮堆疊注入。由於沒有過濾show函數因此可以用其來進行查詢一

2020-06-03 02:08:03

比賽的時候一道題也沒做出來，現在看着大佬的wp做一波復現。 1.CheckIn 很明顯的一道代碼審計題。通過傳入base64編碼的Ginkgo參數即可執行eval函數。用蟻劍連接構造Ginkgo=QGV2YWwoJF9QT

2020-06-03 02:08:03

用curl（linux工具）測試目標網站是否支持web寫權限 1.支持options方法 curl -X 127.0.0.1（目標url） -I 2.不支持options方法 curl -v -X PUT -d "test" url

2020-06-01 20:20:33

復現平臺：buuctf 這題很是複雜，我也是研究了整整一天，發出來供諸位參考參考。打開題目，腦海裏不自覺的就想到了雞你太美，爲了守護世界上最好kunkun，必須搞出這題。打開頁面，是一個類似的商城頁面，提示下面是各種等級

2020-03-31 14:58:34

打開題目，頁面顯示/?ip= 應該是一個傳參的提示。結合題目的ping。嘗試?ip=127.0.0.1 果然是linux的命令執行，嘗試執行其他命令 ?ip=127.0.0.1 ;ls 成功執行目標是flag.php ?ip=12

2020-03-31 14:58:34

最近想要弄一個base全家桶的解密大全，在網站找了很多資料主要是依靠大神的博客 https://www.cnblogs.com/pcat/p/11625834.html 但是這篇博客有一部分庫是基於python2的，在python3中並

2020-02-24 14:47:33

在開發中經常會遇見不同的參數需要執行不同函數。在可選項衆多的情況下如果使用if/else逐個判斷的話，會使代碼極度醜陋，不夠優雅。爲了優美的實現他，我們可以用一些python的內建函數。 1.getattr（object ，nam

2020-02-24 14:47:01

之前參加了2019的強網杯，當時表現很菜，很多題都不會做。後來發現buuoj.cn上有復現，以此重新復現一下這次的題目。話不多說，開始今天的主題。一訪問頁面就是如下畫面：因此我們直接訪問 url/www.tar.gz即可下

2019-10-26 08:34:20

做了這麼長的時間的ctf，現在總結一下自己做過的題，記錄一下各種可能會存在繞過的php函數，持續跟新。各位大佬可以一起交流♂交流。 1.preg_replace （$pattern , $replacement , $subje

2019-10-26 08:34:08

打開一個鍵的函數： RegOpenKeyEx 函數定義：LONG RegOpenKeyEx(HKEY hKey,//已經打開的鍵的句柄，或者直接是上述幾個根鍵 LPCTSTR l

2019-04-11 07:02:04