All Posts

suctf-2018 Multi Sql Write Up

前言 比赛已经过去了一个多月了,由于一直忙于期末复习,现在才有时间好好整理一下题目的知识点。suctf 是我们大一的萌新们继强网杯之后集体参与的第二场线上赛,依靠学长们的超强实力,我们最后荣获第二名,而我依然只能划划水,但是比起之前的毫无头绪,这一次起码可以有一点点思路了。那么接下来说一下这道题目吧。

sqli-labs 31-40 Write Up

Less-31:

sqli-labs 21-30 Write Up

Less-21: 依旧是 cookie 注入,只不过用 base64 编码了一下,也可以显注.

sqli-labs 11-20 Write Up

Less-11 — Less-15: 没啥意思,略了

sqli-labs 1-10 Write Up

前言: 咸鱼了一个多月没发博文了,期间猝死于期中考试、项目组互联网+创新创业比赛、以及天津旅游。现在终于又有短暂的开坑时间了。准备好好做一下 sqli-labs 的题目。并且在这个过程中尽量尝试各种 sqli 的奇技淫巧。尽可能多的学习姿势。

prompt(1) to win write up

前言 之前就断断续续的做过几次这个 xss 挑战,但是都半途而废了,这次终于决定利用这个假期把这个挑战做完,并且整理下来。 传送门:prompt(1) to win

从一道CTF题看懂RPO攻击原理

前言: 本来前几个星期就看了好几篇有关 RPO 攻击的文章,想抽空总结一下,但是觉得那几篇文章给出的例子都太生搬硬套,并不能让人很好的理解 RPO 攻击到底可以怎么用,给人一种 RPO 攻击很鸡肋的感觉。 直到看到了上周的强网杯 Web 题的 share your mind 的 write up,才让我有一种顿悟的感觉。不得不说这道题目质量非常的高,给了 RPO 攻击一个非常合理的利用环境。 于是借这道题目,详细分析一下有关 RPO 攻击的原理。

Hgame 正式赛两道Web题目wp

前言: Hgame 正赛结束了,除去签到题之外,一共只做出了两道题(一道Web,一道Misc)。Web还是在hammer学长的不断提点之下才做出来,最大的感受还是知识不够,不知道如何去做题,甚至发现漏洞后也不知道如何去进一步利用,像一个没头苍蝇一样到处乱撞。想来接下来的时间,自己是应该多做一些CTF真题、多看一些大佬的Blog并且亲自动手实践(Konw it then do it),积攒一下经验了。赛后又继续做了一下题目,整理一下的知识点

为Hexo添加Gitment评论

打算为博客添加评论功能,但是在选择上犯了难,Hexo原生支持的disqus由于你懂得的原因不能在国内使用、著名的 多说 又已经挂了,网易云、今日头条的产品风格也不太适合技术类个人博客,最终在知乎上找到了Gitment,被简约的样式和强大的功能吸引了,于是折腾了一晚上,期间踩了不少坑,把过程记录下来,为后来者提供点方便。

hello world

之前本想用Django自己写一个博客,但是写到一半因为期末考试鸽了… 考试结束后已经不想继续写下去了,嫌弃自己写的前端太丑。。。而且想把更多的精力用在学习知识上,博客更多是记录自己学习过程中的收获,从这个角度考虑,hexo完全满足了我的要求,我不用去考虑网站的维护、也不用去考虑该死的SEO…所以 Hello World,Hello 2018,希望新的一年里,自己能学到更多的知识!