今天中午还在上物原课时,突然在群里看到 DDCTF 开始了!我天!不是明天吗? 下课后赶紧回宿舍做题,嘛……还真挺硬核的。(其实是自己太菜了 滴~ 出题人脑子有泡。 WEB 签到题 个人感觉是很不错的题。如果没有被那个 Restlet Client 框架给坑了,今下午数据结构上机课上就出 flag 了。 进入题目,发现提示没有权限访问,F12 打开开发者面板,发现会自动执行
标签: 技术
Typecho install.php 反序列化漏洞复现
昨天0ctf,唯一的一道 web 还是 Java,那个鬼椒的 hint 也是无语。直接自闭了。 对面的 bin 爷爷肝的不亦乐乎,web 狗只能在角落摸鱼。 之后我便去复现周五协会培训时司大哥讲的 Typecho 反序列化漏洞。之前听的时候,到后半部分有些理不清了,自己尝试的时候才差不多搞明白。 其实反序列化难就难在 pop 链的构造,真的是一环套一环啊。需要明白哪些变量使我们可控的,有哪些魔术方
我在 Cube 中加入了 Google Authenticator 登录验证
真是巧合,我居然又是造轮子 在高三上学期在宿舍洗澡的时候,我突然脑洞大开,想到了一个生成六位随机数字进行双重验证的东西。 到周末回家的时候花时间写了出来: OneCode https://github.com/wuhan005/OneCode 你也可以看看我当时介绍她时所写的文章。 当时还给她设计了个 Logo 来着,回想起来不禁觉得自己当时脑洞也真是挺大的。 但脑洞归脑洞,这个应用也像我的一大堆
密码保护:记录一个思路清奇的漏洞的发现过程
无法提供摘要。这是一篇受保护的文章。
第一次合作写一个项目,感触颇多
ひとりじゃないよ 一直以来,我都是一个人瞎写一些东西玩的。自己突然有了脑洞就开一个坑,但真正能填完坑的不多。 之后做外包的时候前后端也都自己一个人写完。一切全都是按照自己的想法心情来。好在对自己也算是负责,很少出现那种看不懂自己的代码的窘况。 有人说 PHP 是一门适合个人独立开发的语言。现在也不是很明白为何这么说。其实只要大家之间商量好,你写哪个 Controller,我写哪个 Model,约定
PHP Swoole 实现 WebSocket 聊天室
实时的,在线的 一直以来我都在回避去做一些需要“实时”的项目。比如在线自动匹配、在线发送消息等。 究其原因还是没太接触过这方面的知识,并不知道用什么技术实现,总感觉会很麻烦。 但是最近学校有个微信小程序的项目,有用户实时聊天的需求。 抱着多学习一点东西的想法,我居然给接下来了! 刚开始是在百度上粗略地找了下聊天室的实现原理,发现了一个用 Java 写的在线 Web 聊天室。体验了一下,还不错,甚至
WordPress 插件开发初探
一切都是源自于 B 站 那是在 2015 年的国庆小长假,我偶然在 B 站上看到了一个教你如何在 OpenShift(RedHat 的一个 PaaS 平台) 上使用 WordPress 搭建个人博客的教程。 之后就入了 WordPress 的坑,因为这个 CMS 实在是太好用了。 WordPress 是个很棒的开源软件的。因为拥有大量的用户作支撑,使得我们可以相信,WordPress 代码中所使用
HGame 2019 week1 Writeup
终于来了! 一直盼望着的 HGame 来了!!好开心啊! 本来是计划 25 号回老家的,跟爸爸说协会 25 号有 HGame 后,便推迟到了 26 号回去。 之前也是一直肝到了 4 点,学了超多东西。 不过开始半小时后 ak web 确实让我十分激动啊!!一开心又下单买了个手办,只怕到时候补款又得哭死。 嘛,下面来聊聊这次的题吧。感觉还是有点难度的,这还只是 week 1 啊!! Web 谁吃了我
Linux SSH 使用公钥登录
服务器,永不嫌多 今天偶然间点开了腾讯云的广告,看了下他们家的服务器。配置的话,硬盘是比阿里云多出 10G,价格的话是 120RMB 一年。还是挺划算的,便入了一台。但是由于前阵子腾讯云误删客户数据爆出超卖服务器的事情,我只敢把原来在搬瓦工 VPS 上的一些不怎么重要网站逐步迁移过来,而像博客这种站还是放在阿里云上。搬瓦工那边就只当做梯子来用。 目前手里有的三台服务器我都开了 Uptimerobo
赛博协会新生测验 Web Writeup
昨晚补完刀剑后又看了一会手机,睡得有点晚。今天早上十点多才起,想起赛博今天有新生测验,马上跑下床打开电脑。 嘛,还是挺有意思的,学到了不少东西。虽然刚开始跑偏了,差点想放弃2333 那么,我们来看看这些题吧: Web1 这是一个搞逆向的学长出的 web 题。嘛,确实有些地方有点不太“安全“吧,之后我会提到。 假的杭电认证 进入题目,输入1进入第一题,然后直接跳到了连接校内 Wifi 的登录认证界面
Python 开发自己的语音助手初探
入门先别玩蛇 呼~ 英语四级考完了。接下来应该就是坚持每天抽时间看一下线代,争取期末能过什么的了。 这几天一直在看 Python。一直以来对于这个语言的印象都不是太好,觉得它的语法太怪异了。(想了起游标卡尺的梗2333)但是现实所迫,很多时候用 Python 写脚本可以完成很多费劲的琐事。CTF 中也有很多要用 Python 写脚本的时候。同时我也不满足只会 PHP 这一门后端语言…&
JavaScript 中的匿名函数、函数字面量、闭包函数
最近一直在看 JavaScript,虽然很久以前接触过 ActionScript,语法与 JS 及其相似。但还是想从头来一遍,以免漏掉什么重点。 果然,我发现 JavaScript 的函数十分灵活,其声明与调用方法都很有意思。这种灵活性使我觉得我可以用她来做很多东西。 这篇文章就是谈谈我对几种函数类型的理解吧。 声明式函数 声明式函数就是我们最常见的那种类型。 一个很简单的例子: function
数字杭电 CAS 认证系统模拟登录
今天体育课在和同学吃鸡的时候,部长 QQ 上找我说让我去尝试爬一下教务系统的学生推荐课表。 最近只是看书确实有点无聊,是该写点东西了。便答应了。部长的声音真好听! 每个学生的教务系统推荐课表都是不一样的,并且每个人也只能看到自己的课表。因此需要模拟登录进入教务系统再爬取。 回到宿舍后打开数字杭电,先是拿自己的号登录了一下。最初只是用 Google Chrome 的开发者面板分析请求头的,但是发现
