- 博客(11)
- 收藏
- 关注
RSS订阅原创 CTF Crypto入门 群环域数学基础
本文介绍了CTF密码学中的基础数学概念——群、环、域。首先详细阐述了群的四个基本性质:封闭性、结合律、单位元和逆元,并通过整数加法群、有理数乘法群等实例说明。接着介绍了半群、幺半群、交换群(阿贝尔群)等衍生概念。然后定义了环的三个条件:加法构成交换群、乘法构成半群、满足分配律,并引出幺环、交换环、除环和域的概念。最后讨论了群中元素的指数运算和阶的定义。文章为密码学初学者提供了必要的代数基础知识框架,建议在后续学习中结合实际应用补充深化理解。
2025-12-12 10:30:33
890
1
原创 攻防世界 mfw WP
摘要:通过.git源码泄露获取网站源码,发现index.php存在漏洞。该网站使用assert()函数检查文件路径,但未对输入充分过滤。通过构造恶意payload(/?page=').system('cat+./templates/flag.php');//)可绕过防护,执行系统命令读取flag.php文件内容,最终在页面源代码中获取flag。该漏洞源于assert()函数的不安全使用和输入验证不足。
2025-09-17 20:26:06
232
原创 BugKu Flask_FileUpload WP
文章摘要:题目考察Flask框架的文件上传漏洞。通过上传含Python代码的图片(利用os.system执行命令),成功获取flag。解题关键:Flask框架解析漏洞、Python脚本编写能力及BurpSuite抓包修改技巧。
2025-09-02 10:48:51
202
原创 攻防世界 Web_php_unserialize WP
本文分析了PHP反序列化漏洞利用过程。通过构造Demo类绕过__wakeup()和preg_match的防护:1)在O和数字间加"+"绕过正则过滤;2)修改序列化编号绕过wakeup修改;3)将payload进行base64编码后提交。最终成功获取fl4g.php中的flag,展示了PHP反序列化漏洞的利用方法。
2025-08-29 14:44:21
310
原创 攻防世界 warmup WP
本文介绍了一个CTF题目中的文件包含漏洞利用过程。通过御剑扫描发现hint.php和source.php文件,对source.php代码审计发现关键文件包含点,利用绝对路径成功读取ffffllllaaaagggg文件。文章提供了详细的漏洞利用步骤,并建议使用F12查看源代码作为替代方法。最后推荐了相关学习资源,帮助理解文件包含漏洞的原理和应用。该题目主要考察本地文件包含漏洞的利用能力。
2025-08-22 16:01:06
1402
原创 攻防世界 NewsCenter WP
本文记录了一个SQL注入漏洞的完整利用过程。首先通过order by确定列数为3,然后依次查询数据库名、表名和字段名,最终在secret_table表的fl4g字段中获取到flag。该案例展示了有回显SQL注入的基本利用方法,建议初学者在手注中掌握原理,而非直接使用sqlmap工具。难度适中,适合CTF入门练习。
2025-08-22 10:42:00
1337
原创 攻防世界 php_rce WP
发现如上列表,最后直接cat进行查看即可(如果觉得输出过多,那也可以直接用find / -name flag进行查找,只寻找名字为flag的文件)。
2025-08-21 15:28:22
237
原创 攻防世界 xff_referer WP
当我们更新 xff 字段后,发现页面响应出现如上变化,此时我们考虑使用 referer 字段。观察到页面显示ip地址必须为123.123.123.123,结合我们开始的分析,可以考虑使用burp进行抓包,在HTTP报文中伪造 xff 字段。这里简单对 xff 字段进行介绍:xff 即 X-Forwarded-For 的缩写,用于表示发起请求的 IP 地址,以及中间经过的代理服务器的 IP 地址。首先根据题目 ”xff_referer“ 和题目描述“X老师告诉小宁其实xff和referer是可以伪造的。
2025-08-21 08:53:40
173
原创 攻防世界 command_execution WP
本文是一篇关于CTF Web安全方向的系统性学习指南,主要面向初学者梳理了Web安全必备的基础知识和技能。全文分为十章,从PHP弱类型、Bypass技巧、SQL注入、XSS攻击、SSRF漏洞、CSRF攻击、RCE漏洞、文件操作漏洞等核心知识点展开讲解,并介绍了BurpSuite、蚁剑等常用工具的使用方法。本文内容全面系统,既可作为Web安全初学者的入门教程,也可作为有一定基础的学习者巩固知识的参考资料。文章强调基础知识的掌握和实践能力的培养,为后续学习中间件漏洞、渗透测试等进阶内容奠定了坚实的基础。
2025-08-20 22:09:01
327
原创 CTF Web 入门漏洞全解析
本文是一篇关于CTF Web安全方向的系统性学习指南,主要面向初学者梳理了Web安全必备的基础知识和技能。全文分为十章,从PHP弱类型、Bypass技巧、SQL注入、XSS攻击、SSRF漏洞、CSRF攻击、RCE漏洞、文件操作漏洞等核心知识点展开讲解,并介绍了BurpSuite、蚁剑等常用工具的使用方法。本文内容全面系统,既可作为Web安全初学者的入门教程,也可作为有一定基础的学习者巩固知识的参考资料。文章强调基础知识的掌握和实践能力的培养,为后续学习中间件漏洞、渗透测试等进阶内容奠定了坚实的基础。
2025-08-14 21:01:12
1647
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人