会员
周边
众包
新闻
博问
闪存
赞助商
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
会员中心
简洁模式
...
退出登录
注册
登录
Acc1oFl4g
博客园
首页
新随笔
联系
订阅
管理
2025年6月9日
对apache服务器环境下利用.htaccess配置文件完成文件上传的理解
摘要: 对apache服务器环境下利用.htaccess配置文件完成文件上传的理解 .htaccess 文件是 Apache Web 服务器中的配置文件,用于控制服务器的行为。其格式非常简单,通常由一系列指令和规则组成 我们这里可以利用的就是把别的格式的文件当作php文件来执行 AddType applic
阅读全文
posted @ 2025-06-09 10:22 Acc1oFl4g
阅读(90)
评论(0)
推荐(0)
2025年4月27日
萌新通过[网鼎杯 2020 朱雀组]phpweb对php反序列化的进一步了解
摘要: 作为一个学习ctf时间不长的萌新,之前所做的反序列化题目都是一知半解,只知道这种题目都是一堆class,找eval当链尾,然后组成pop链最后有个执行unserialize的地方,这种题才是php反序列化题目。本题作为一个简单的变式,对我对反序列化的理解有很大的帮助。 首先题目是一个不停刷新的页面,
阅读全文
posted @ 2025-04-27 15:01 Acc1oFl4g
阅读(15)
评论(0)
推荐(0)
2025年4月15日
TGCTF 2025 web 个人wp
摘要: TGCTF 2025 web 解题思路
阅读全文
posted @ 2025-04-15 14:15 Acc1oFl4g
阅读(132)
评论(0)
推荐(0)
2025年4月9日
[XYCTF 2025 web 出题人已疯]以新手角度快速理解官方exp的解题思路
摘要: 前言 这是一道非常简洁明了的ssti漏洞题目,就是要求攻击payload长度不得高于25。在LamentXU大佬的官方wp中写道: “直接往os里塞字符。随后一起拿出来exec。这样子就可以实现SSTI。” 这对于我这种新手来说理解上是非常抽象且困难的。本篇文章我将记录下我以一个新手的角度理解这道题
阅读全文
posted @ 2025-04-09 14:13 Acc1oFl4g
阅读(36)
评论(0)
推荐(0)
2025年3月26日
PolarCTF网络安全2025春季个人挑战赛 web方向个人wp
摘要: xCsMsD 首先注册,注册后登录,显示一个xss窗口和一个cmd窗口,可以输入xss代码和命令执行指令 首先命令执行ls发现能够正确显示当前目录文件 然后尝试ls /发现没有回显,这时应该猜测是有过滤,我们要想能够利用xss做些什么,这里可以弹一个cookie出来 url解码后发现把空格替换成了-
阅读全文
posted @ 2025-03-26 09:33 Acc1oFl4g
阅读(41)
评论(0)
推荐(0)
2025年3月21日
[SWPUCTF 2021 新生赛]finalrce
摘要: <?php highlight_file(__FILE__); if(isset($_GET['url'])) { $url=$_GET['url']; if(preg_match('/bash|nc|wget|ping|ls|cat|more|less|phpinfo|base64|echo|ph
阅读全文
posted @ 2025-03-21 10:33 Acc1oFl4g
阅读(5)
评论(0)
推荐(0)
2025年3月20日
(萌新向)对于nodejs原型链污染中merge函数的作用的个人理解
摘要: merge函数 function merge(target,source){ for (let key in source){ if (key in source && key in target){ merge(target[key], source[key]) }else { target[ke
阅读全文
posted @ 2025-03-20 14:02 Acc1oFl4g
阅读(9)
评论(0)
推荐(0)
2025年3月19日
[nodejs原型链污染及绕过]校赛第四次纳新赛 bypass WP
摘要: 前言 赛后自学了nodejs原型链污染后来尝试做这个题,难度不算太大,但是绕过姿势非常奇怪没见过,写一篇总结记录一下做法 wp 首先打开环境发现是一个登录框,题目有附件我们下载查看附件 最关键的就是controller.js和main.js两个文件,index.html是前端代码用处不大 代码审计
阅读全文
posted @ 2025-03-19 16:05 Acc1oFl4g
阅读(34)
评论(0)
推荐(0)
2025年3月10日
GHCTF 2025 web 萌新初探wp
摘要: ctf萌新第一次写wp,如有错误请师傅们指出 [GHCTF 2025]SQL??? 打开靶机是一个用户查询的页面,结合题目名称猜测是sql注入,但是常规方法都试过了没办法注入,当时也是很懵逼,后来一个同学用sqlmap一扫说是提示sqlite注入,这才恍然大悟。 sqlite是除mysql外另一个数
阅读全文
posted @ 2025-03-10 17:01 Acc1oFl4g
阅读(37)
评论(0)
推荐(0)
公告