Twings 
  • 首页
  • 归档
  • 标签
  • 关于
  • 友链
  •     

堆入门-JarvisOJ-Level6

前言之前看过一点点堆的资料……然后就被劝退了,最近又硬着头皮捡起来看,打算用这道题来入门堆,调了两天,装了个 pwndbg ,看堆舒服了很多,最后总算是搞懂了,写篇文章总结一下。...
 2019-05-09   CTF  Pwn 

虚拟机环境搭建

前言最近打 pwn,发现环境很诡异, 所以干脆重装一遍虚拟机,顺便记录一下自己虚拟机的环境,以后方便玩坏了又重装。...
 2019-05-09   Crypto  Web  Pwn  虚拟机 

FastCGI浅析

前言同样是上周的 *CTF 的 Web 题目,题目用 PHP 仿写了函数调用栈,主要思路是栈溢出 + PHP-FPM 绕过 disable_functions,相关的 payload 脚本已经有前辈大师傅们写好了,因为我对 PHP 的几种模式了解得不是很清楚,所以研究学习一下,再写篇文章加以总结。...
 2019-05-06   CTF  Web  FastCGI 

*CTF2019-996game复现/nodejs+mongodb使用

前言上个周末打的 *CTF,密码实在是复现不动了,只能来搞搞 Web 这个样子… 虽然 Web 题出的不算太好,不过还是能学到东西的,值得复现一波。 根据题目的环境,先自己搭一个 nodejs + mongodb 来玩玩。...
 2019-05-05   CTF  Web  Mongodb  NodeJS 

Python黑魔法-[]绕过空格实现变量覆盖

前言上个周末做的 *CTF,不得不说是个好比赛,菜鸡 Web 手学到了很多新的知识,后来因为要给国赛半决赛出题的原因,所以放了几天没有时间去总结,现在题目差不多完结了,就摸个鱼总结一下,就从有趣的 Misc 题目开始吧。 官方 writeup:https://github.com/sixstars/starctf2019...
 2019-05-02   CTF  Web  Python 

Java特色-表达式注入漏洞从入门到放弃

前言(2020/05/04更新)看 Java 相关的漏洞有一段时间了,觉得 Java 特色的很多漏洞和知识点都相当有趣,比如反序列化、JNDI 注入、JRMP 等等,最近翻文章的时候看到了 Spring-data-commons(CVE-2018-1273) 这个漏洞,看到了 Spring 框架特色的 Spel 表达式注入,想起来以前写了一半差一步的 Nexus Repository Manager 3 CVE-2019-7238(Jexl表达式) ,还想到了以前做过的 ph 牛的 code-breaking ,以及 nuxeo rce ,正好写一起总结一番。...
 2019-04-25   CTF  Web  Java  复现  表达式注入 

反射

前言反射技术不仅在开发上有广泛的应用,在安全领域也有其独特的效果,正好最近划水,就稍微学习一下反射技术,然后写一篇文章总结一下。 反射一种用于运行状态下,动态获取信息或者调用函数的技术,在安全领域被常用来进行函数调用。...
 2019-04-25   Web 

2019国赛部分题解简略版

前言最近的国赛,因为题目环境已经关了,所以只简单记录一下思路。 吹爆队内的 Misc 师傅和二进制爷爷!...
 2019-04-23   CTF 

DDCTF2019 [Pwn]strike

前言Pwn菜鸡比赛的时候不会做,时间都花在Web题上面了,只能比赛后来复现了。...
 2019-04-23   CTF  Pwn 

DDCTF2019-Web题解

前言最近举办的比赛 DDCTF2019 ,菜鸡 Web 手第二次打这个比赛,题目相比去年整体质量有所下降,有质量的题目只有三题左右,不过也是个能学到东西的好比赛。 比赛最后两天没有肝 Java 题,被hint弄昏了,辣鸡选手分不清命令执行和代码执行,当然也有对 ysoserial 不熟悉等各种原因在内,所以到最后还是没有能够 AK Web 题目,算是一个遗憾吧,希望明年能变得更强。...
 2019-04-19   CTF  Web 
1…151617181920

搜索

Hexo Fluid