【tls招新web部分题解】(1),赶紧学习一下

最新推荐文章于 2025-12-26 09:38:12 发布
原创 最新推荐文章于 2025-12-26 09:38:12 发布 · 945 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #java #开发语言

在这里插入图片描述

可以看到上面的变量赋值不完整,应该是读取不齐,存在不可见字符

可以讲十六进制的数组复制到十六进制编辑器中进行转码
在这里插入图片描述
如图
在这里插入图片描述
根据这些emj,直接就可以rce了

直接复制变量就可
getshell

GOGOGO(条件竞争)

条件竞争

在这里插入图片描述
点击开始
点击购买时抓包

在这里插入图片描述

然后,抓取一个start和一个buy1的数据,进行条件竞争
在这里插入图片描述

demo1 (pickle反序列化)

考点是pickle反序列化

打开界面是一个login页面,随便输入一些数据
页面返回
在这里插入图片描述

这样可以随便登录进来,那题目的要求应该是以某种身份进行尝试登录
查看源代码发现提示,要以admin用户进行登录
在这里插入图片描述

用bp抓包的分析得到data数据
在这里插入图片描述

看起来像是base64编码,解码后
在这里插入图片描述
因为几乎没怎么做过python的pickle反序列化,直接就把base64编码出来的数据进行百度,然后就可以看到相关的文章,对应得上,就可以知道是pickle反序列化

看了一些文章

https://xz.aliyun.com/t/11807?time__1311=mqmx0DBD90qWqGNqeeqBKfrxA2ixu7lOhYD&alichlgref=https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DJa8oqhAcZnxX4KLx3CkLkl50Dt_BV9N2UL8DsRp8dLuiGNG6mkln6bl5vMsZNPOW%26wd%3D%26eqid%3D9cf6c4ab00b2125f0000000665f64afd

当时的思路是想着如何覆盖username=admin
但是没有成功
当时一直被一个没有app模块所阻挡了
在这里插入图片描述

当时,这里也卡住了,被waf过滤了admin

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
在这里插入图片描述

一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
img

或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
[外链图片转存中…(img-anQAOCDA-1712590951613)]

tls招新web部分题解
qq_74240553的博客
03-16 497
ctf
解:[NSSCTF 2022 Spring Recruit]babyphp--TLS_预备队任务(1)
river_mouth_man的博客
03-06 498
绕过php弱比较
tls招新web部分题解(1),网络安全工程师的面试题
2401_84140485的博客
04-06 680
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
CTFSHOW | 其他篇题解(三)web438 - web460
WayneJH的博客
08-27 2921
CTFSHOW 其他篇第三部分详细题解
BugkuCTF 部分题解(随缘更)
热门推荐
volcano的博客
12-30 1万+
之前做的题在 佛系更 等假期抽空做 bugku佛系更MISC简单取证1南城旧梦成果狗成果狗 MISC 简单取证1 下载得到windows系统下一个目录,获取用户名和密码需要用SAM和system两个文件。 把SAM和SYSTEM文件放到Win32文件夹下,运行mimikatz,执行命令 所以flag{administrator-QQAAzz_forensics} 南城旧梦 mmz.bmp文件尾有一段DE@@=<6J:DB625K4,rot47解码后得到stoolkeyisqeadzc 意思是使
羊城杯2022 部分题解
weixin_51122085的博客
09-04 2858
羊城杯2022 部分题解
BugKu CTF(Web):sqli-0x1 & baby lfi & baby lfi 2
Flag少侠的博客
05-10 2729
BugKu是一个由乌云知识库(wooyun.org)推出的在线漏洞靶场。乌云知识库是一个致力于收集、整理和分享互联网安全漏洞信息的社区平台。BugKu旨在提供一个实践和学习网络安全的平台,供安全爱好者和渗透测试人员进行挑战和练习。它包含了各种不同类型的漏洞场景,如Web漏洞、系统漏洞、密码学等,参与者需要通过解决这些漏洞来获取Flag。
web基础了解
2402_89023221的博客
08-15 1527
web(World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。是建立在Internet上的一种网络服务,为浏览者在Internet上查找和浏览信息提供了图形化的、易于访问的直观界面,其中的文档及超级链接将Internet上的信息节点组织成一个互为关联的网状结构。
加密和安全-题解<1>
http://www.54tianzhisheng.cn/
08-12 983
选B   SHA RSA为非对称加密、DES为对称加密,均有对应的“解密”; BASE64为简单的编码解码。 SHA为哈希算法,不可逆。 Base64,DES,RSA,SHA1,MD5笔记 1,Base64 场景:你想把一组二进制数据表示为一组可见字符,这样在某些场合更加利于传输,比如在邮件中传输。 算法:http://zh.wikipedia.org/wik
大连海事大学第一届“启航杯”DLMU CTF部分题解
TMMXA的博客
12-13 2783
大连海事大学第一届“启航杯”CTF校园网络安全竞 签到题 0. dlmuctf2020 flag{welcome_to_dlmuctf2020} dlmuctf{welcome_to_dlmuctf2020} 1. 早安,贝丝人 TVJXRzI1TERPUlRIV1NCV09aU1Y2TlM3TTRZREFaQzdNUTNIU0lMNQ== ​ 很明显的Base64编码,解密后得到MRWG25LDORTHWSBWOZSV6NS7M4YDAZC7MQ3HSIL5,在进行Base32解码,拿到flag:dlm
面试-Java一些常见面试题+题解之网络-Network.zip
03-03
这份"面试-Java一些常见面试题+题解之网络-Network.zip"的压缩包内容可能包含了Java网络编程相关的面试问题和解答,这对于求职者尤其是Java开发者来说,是提升面试技巧和深入理解网络知识的重要资源。 首先,我们来...
PySide6从0开始学习的笔记(十八) MVC(Model-View-Controller)模式的图形渲染体系
最新发布
xulibo5828的博客
12-26 615
MVC 的核心是数据(Model)- 视图(View)- 控制器(Controller)QGraphicsItem(图元)= Model(模型):图元是显示的基本单元,它可以是一个圆、一个多边形、一条直线,或者是一个图片,它承载着图形的核心数据与状态(比如坐标、形状、颜色、是否可交互、像素数据等),是 “要渲染的内容本身”,不关心自己如何被显示、在哪显示。QGraphicsView(视图)= View(视图)
大模型微调(学习笔记一)
weixin_51590845的博客
12-23 822
指的在已有的大规模预训练模型基础上,通过对标注数据进行训练,进一步优化模型的表现,以适应特定任务或场景的需求。我们必须小心谨慎的设计模型微调数据集和微调训练流程,并经过反复多次训练验证,得到一个最佳模型。参数高效微调 (PEFT, Parameter-Efficient Fine-tuning)尽管模型微调能够通过修改模型参数的方式,永久的修改模型的能力,但这其实是。第一类方法:借助OpenAI提供的在线微调工具进行微调;(提前安装好hugging face包),如果处理不当,很可能造成模型原始能力的。
学习笔记】安全模型
tpriwwq的专栏
12-22 983
安全模型是指描述安全重要方面(机密性,完整性等)及其与系统行为的关系(允许/拒绝访问、加密/解密数据等)的框架。
个人用云计算学习笔记 --24 虚拟化、KVM 基础使用与热迁移实验、VMware ESXi笔记
iconball的博客
12-26 541
本文系统介绍了虚拟化技术基础概念、发展历程和主流方案,重点分析了KVM虚拟化的使用方法和热迁移实验。主要内容包括:虚拟化定义及组件(物理机、虚拟机、Hypervisor);技术演进时间线(1964年IBM大型机到2014年容器技术);虚拟化类型比较(全/半/硬件辅助);KVM图形界面和命令行操作指南;以及基于NFS共享存储的热迁移实验环境搭建与实施步骤。文章为读者提供了从虚拟化原理到实践操作的完整知识框架。
CAPL学习-AVB交互层-媒体函数1-回调&基本函数
车载网络测试工程师的博客
12-21 921
可基于对象(如 MediaGetMediaType 返回的媒体类型对象)检索属性。可基于对象(如 MediaGetMediaType 返回的媒体类型对象)设置属性。可基于对象(如 MediaGetMediaType 返回的媒体类型对象)设置属性。可基于对象(如 MediaGetMediaType 返回的媒体类型对象)检索属性。可基于对象(如 MediaGetMediaType 返回的媒体类型对象)设置属性。可基于对象(如 MediaGetMediaType 返回的媒体类型对象)检索属性。
【AI学习-comfyUI学习-第二十三-法线贴图工作流-depth 结构+MiDaS 法线-各个部分学习
qq_22146161的博客
12-25 1095
最近,学习comfyUI,这也是AI的一部分,想将相关学习到的东西尽可能记录下来。不断学习摸索中。
大模型RAG学习记录
qiaobing1226的博客
12-24 335
RAG(检索增强生成)是一种结合信息检索与大语言模型的技术框架,通过三步流程提升生成内容的准确性:检索相关文档、增强上下文提示、生成基于事实的答案。其核心价值在于解决大模型的"幻觉"问题、突破知识时效限制、接入私有领域知识、增强答案可追溯性,同时降低频繁训练模型的成本。工程实现包括文档预处理、智能分块(定长/段落/语义分块)及模型微调,并推荐国内开发者使用清华镜像源加速资源获取。
AI 赋能智慧农业:核心技术、应用案例与学习路径全解析
weixin_67440240的博客
12-24 775
摘要: 人工智能正重塑农业生产模式,推动智慧农业从概念走向实践。其核心技术体系涵盖数据感知、智能分析与决策、智能装备三大环节,实现病虫害识别、精准种植、智能养殖等场景应用。开发者需掌握机器学习、物联网等技术,结合农业场景特性,平衡技术先进性与实用性。学习路径包括夯实算法基础、研究开源项目及行业标准,以应对田间环境复杂性和农艺适配等挑战,推动技术真正落地。
机器学习驱动的TLS恶意加密流量智能检测策略
本文主要探讨了基于机器学习TLS(安全传输层)恶意加密流量检测方案。文章首先概述了TLS协议的基本特点,它是一种用于提供安全网络通信的协议,确保数据在互联网上传输时的机密性、完整性和身份验证。TLS工作在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值