ha0113-CSDN博客

原创从零开始：CTF中的XSS漏洞入门指南

是一种常见的Web安全漏洞，攻击者通过向网页注入恶意脚本，使其在受害者的浏览器中执行。由于JavaScript可以访问Cookie、LocalStorage、DOM等敏感数据，XSS通常用于窃取用户信息、劫持会话、钓鱼攻击等。XSS是Web安全中最经典的漏洞之一，理解其原理和防御方法对CTF比赛和实际开发都至关重要。建议搭建靶场（如DVWA、XSS Game）进行实战练习，并关注最新绕过技术（如SVG XSS、Dangling Markup攻击）。XSS的危害不仅限于弹窗（

2025-04-24 12:35:00 922

原创如何通过AI协助解决docker容器报错

这种"容器运行但服务不可用"的情况比容器直接崩溃更难以排查，因为你无法立即判断是应用程序启动失败、配置错误、端口映射问题，还是其他更深层次的原因。传统的调试方法可能需要反复修改配置、重建容器，效率低下且耗时。首先，我们需要获取容器的运行日志，这是排查问题的第一步：如果容器输出信息较多，可以将日志重定向到文件中：2.2 将日志信息提供给AI分析现代AI工具如ChatGPT、Claude或专门针对开发者的AI助手能够很好地理解技术日志。将日志复制到AI对话中，并附上相关上下文信息：提示词示例：AI通常会

2025-04-24 12:15:29 908

原创机械革命蛟龙16蓝屏自救指南

通过一系列的尝试和调整，我终于解决了蛟龙16的蓝屏问题。虽然过程较为曲折，但最终找到了一个相对稳定的解决方案。希望这篇自救指南能够帮助到遇到类似问题的用户，让大家能够更好地享受蛟龙16带来的高性能体验。如果你有其他解决方案或经验分享，欢迎在评论区留言讨论！

2025-02-16 19:18:39 2981

原创 CTF中web方向反序列化类题目搭建教程

反序列化作为现代软件开发中的关键技术，能够将序列化数据还原为可操作的对象，广泛应用于数据传输、存储和远程调用等场景。然而，其潜在的安全风险不容忽视，恶意构造的数据可能引发反序列化漏洞，导致严重的安全问题。通过本教程的学习，我们不仅掌握了反序列化的基本原理和实现方法，还深入了解了其安全隐患及防御策略。希望你能将这些知识运用到实际开发中，在享受反序列化带来便利的同时，筑牢安全防线，构建更加稳健的应用系统。

2025-02-09 15:06:56 738

原创从零开始：CTF中的反序列化入门指南

序列化（Serialization）是将对象的状态转换为可存储或传输的格式的过程，而反序列化（Deserialization）则是将序列化后的数据重新转换为对象的过程。常见的序列化格式包括JSON、XML以及各种编程语言自带的序列化机制（如PHP的、Python的pickle、Java的等）。反序列化漏洞通常出现在应用程序将用户可控的数据反序列化为对象时，攻击者可以通过构造恶意数据来触发代码执行、文件读取等危险操作。反序列化漏洞是CTF比赛中的常见考点，掌握其原理和利用技巧对于提升解题能力至关重要。

2025-02-09 15:06:03 982

原创 CTF中web方向SQL注入类题目搭建教程

通过本文，你已经成功搭建了一个简单的SQL注入类题目，并部署到了 GZCTF 平台。这个题目非常适合新手学习SQL注入的原理和利用方法，只需三个文件就可以搭建，简单易懂。希望你能通过这个题目学到有用的知识，祝你玩得开心！💪。

2025-02-08 14:38:50 835 6

原创从零开始：CTF中的SQL注入入门指南

它利用了程序对用户输入数据过滤不严的漏洞，攻击者可以通过构造特殊的输入，改变原本的SQL语句逻辑，从而窃取、篡改或删除数据库中的数据。如果网站没有对用户输入进行严格的过滤，攻击者就可以在用户名或密码中输入一些特殊字符，改变SQL语句的逻辑。是SQL中的注释符，后面的内容都会被忽略(可以看出上面的SQL语句中--后自动变成灰色，即被注释掉不会作为代码执行)。永远为真，所以这条语句会返回数据库中所有用户的信息，攻击者就可以绕过登录验证，直接登录网站。通过观察页面返回结果的不同，推断出数据库中的信息。

2025-02-08 12:25:03 488

原创 CTF中web方向原型链污染类题目搭建教程

通过本文，你已经成功搭建了一个简单的 Node.js 原型链污染题目，并部署到了 GZCTF 平台。这个题目非常适合新手学习原型链污染的原理和利用方法。如果你对 Node.js 安全感兴趣，可以尝试进一步研究：如何修复原型链污染漏洞？其他常见的 JavaScript 安全漏洞（如 XSS、CSRF 等）。希望你能通过这个题目学到有用的知识，祝你玩得开心！🚀。

2025-02-07 14:47:07 1790 2

原创从零开始：CTF中的原型链污染入门指南

在 JavaScript 中，对象是通过原型链（Prototype Chain）来实现继承的。每个对象都有一个内部属性，指向它的原型对象。当我们访问一个对象的属性时，如果该对象本身没有这个属性，JavaScript 引擎会沿着原型链向上查找，直到找到该属性或到达原型链的顶端（null原型链污染（Prototype Pollution）是一种安全漏洞，攻击者通过操纵对象的原型链，使得某些对象继承了恶意属性或方法，从而导致意外的行为或安全漏洞。

2025-02-07 13:50:50 490

原创全网最简单的GZCTF平台web题目动态FLAG实现

动态FLAG是指在每次用户访问题目时，FLAG的内容都会发生变化。这样即使有人通过某种方式获取了FLAG，也无法在其他时间或其他用户身上使用。动态FLAG的实现可以有效防止作弊行为，提高比赛的公平性。通过直接在后端获取环境变量，我们可以非常简单地实现动态FLAG功能，而无需复杂的脚本或Docker配置。这种方法非常适合新手使用，能够有效防止WEB方向题目的作弊行为。希望本文能帮助到你，祝你的CTF比赛顺利进行！如果你有任何问题或建议，欢迎在评论区留言讨论。

2025-02-06 18:29:25 1455 5

原创 GZ::CTF 平台搭建教程

你是否想举办一场 CTF 比赛，却苦于没有合适的平台和经验？GZCTF 是一款开源免费、简单易用的 CTF 平台，非常适合新手举办小规模比赛。本教程将手把手教你如何在 Ubuntu 系统上安装和配置 GZCTF，从环境准备到平台启动，步骤清晰易懂，助你快速搭建属于自己的 CTF 平台，开启你的 CTF 之旅！

2025-02-06 15:34:41 1848 3

原创如何使用AI协助制作CTF比赛中web方向的赛题

DeepSeek是一款国内的人工智能工具，能够帮助用户生成代码、解决问题，并提供编程建议。它特别适合那些缺乏编程经验但希望通过AI辅助实现技术想法的人。DeepSeek可以通过自然语言描述生成代码片段，帮助用户快速实现功能。通过本文的介绍，你可以看到如何利用DeepSeek AI和Docker容器来高效制作CTF赛题。即使你缺乏编程经验，DeepSeek也可以帮助你生成代码、规划目录结构，并创建Docker容器来模拟比赛环境。

2025-02-05 15:35:45 2704

原创攻防世界-题目名称warmup WP

以上其他WP中的payload已经不能使用，会绕不开，因为SQL语法错误问题，可能是省略了AS关键字导致的问题，我去试了一下确实不会回显FLAG。停止，但是代码中会base加密所以不会执行，在conn之中会发现过滤了注入，以下代码是关键。上面的代码块会检测这个cookie如果不等于IP则会。图中的cookie工具是chrom浏览器扩展中的。不需要设置密码，但是不能为空，所以随便设置。这串代码会检索你的身份，提示你进Table。则构造如下payload。重新构造payload。

2025-02-05 12:15:13 362

原创 2024浙江省大学生网络与信息安全竞赛签到题wp

主要针对于预赛中的密码签到题，我们队伍当时是放在CyberChef中一层一层试出来的，事后我使用了basecrack工具但是也止步于5层。发现这个工具已经很久没有更新所以没有base45导致不能秒掉这串加密于是我自己修改了源码之后加入了base45就可以秒掉。用现在星标最多的basecrack项目解码。这个工具我放在了github上，需要的自取。

2024-11-18 12:48:11 382