moran
nullcon HackIM CTF Berlin 2024 – web
/只记录一道没遇见过的题/ traversaller 源码: <?php ini_set("error_reporting", 0); if(isset($_GET['source'])) { highlight_file(__FILE__); } include "/var/www
HTB打靶记录-TwoMillion
先用nmap扫下端口 $ nmap -p- 10.10.11.221 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-03-20 20:00 CST Nmap scan report for 2million.htb (10.10.11.221)
ISCTF2023-WEB 部分WP
/先来一个总结:自己还是太菜了没有全做出来/ 圣杯战争!!! 简单的反序列化,__wakeup->__toString->__get->__invoke POC: <?php class artifact{ public $excalibuer; public $arrow; }
DASCTF 十一月月赛 WEB single_php 复现
/自己做的时候路线已经找对了,但是忘了filemtime()这个关键函数/ 贴上源码 ?LuckyE=highlight_file //index.php <!DOCTYPE html> <html> <head> <style> img { max-width: 200px; max-
Shiro-550反序列化漏洞
Apache shiro是一个java安全框架,在Apache Shiro <=1.2.4版本出现shiro rememberme反序列化漏洞。 特征:返回包中含有rememberMe=deleteMe字段 原理:在Shiro <= 1.2.4中,反序列化过程中所用到的AES加密的key是硬编码在源
使用PicGo+Github搭建图床并在Typora上实现自动上传
/写笔记发博客难免有图床的需求,没有云端的图床就只能本地看,太杂而且占空间/ 1.下载安装Picgo Github项目地址:PicGo Github 官方文档地址:
使用Docker复现CTF中的Web题
因为一些原因在学docker复现题目,这里做个笔记记录一下以便以后查阅 1.Docker安装 我用的是debian 10系统,使用daocloud一键安装命令 curl -sSL https://get.daocloud.io/docker | sh