python面向对象基础学习
说了暑假学开发,绝对不咕咕咕(0%) 面向过程 假如你拥有了一个做饭洗碗的任务,你准备用面向过程的思想来解决它 可以看到过程非常的繁琐,你将面对所有的步骤 面向对象 假如你现在有个对象,她拥有两个技能: 1.做饭 2.洗碗 那么你只需要面向你的对象,然后你的对象去处理其他所有过程 那如果你的对象再拥有两个对象: 1.炒菜机 2.洗碗机 那么她只需要…
DASCTF2020.6月赛
因为和第五空间连着,然后昨天下午又去打了一场AWD,感觉身体掏空,就认真打了DASCTF(咕咕咕),剩下的题目等有机会再复现 简单的计算器-1 考点:python eval()代码注入,命令执行结果外带 访问Source可以看到源码: #!/usr/bin/env python3 # -*- coding: utf-8 -*- from flask…
中计量现科CTF竞赛
由中国计量大学现代科技学院主办的比赛。 easyweb 源码忘了脱下来,大概考察PHP strcmp()函数,直接数组绕过 ?password[]=shit 成绩单 白给题,Union注入无任何过滤,上来直接一血 id=-1' union select 1,group_concat(table_name),3,4 from informa…
GKCTF2020 复现
GKCTF,题好平台棒,因为那段时间比赛太多就没打,现在填坑 CheckIN 考点:PHP73 bypass disable_functions 打开题目是源码: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { publ…
DozerCTF2020_web
又是一场把萌新骗过去杀的比赛,弹计算器好玩,域渗透不会,xxe盲打ssrf学到了 sqli-labs 0 考点:URL二次编码,堆叠注入 堆叠其实很简单,也发现什么过滤,主要是二次编码有点坑。。。 查看库名: ?id=1%2527;show%20databases;%23 查看表名: ?id=1%2527;show%20tables;%23 查看表…
CVE-2020-7961 Liferay Portal 反序列化 复现
漏洞说明 Liferay是一个开源的Portal产品,提供对多个独立系统的内容集成,为企业信息、流程等的整合提供了一套完整的解决方案,和其他商业产品相比,Liferay有着很多优良的特性,而且免费,在全球都有较多用户。该漏洞是个反序列化导致的RCE,通过未授权访问其api传递json数据进行反序列化,危害较高 影响范围 Liferay Portal…
绕过4-5个字符限制getshell
这个东西起源于HITCON CTF 2017的一道题,高校战疫Hack Me也曾经出现过,最近突然做到了来说一下 参考:https://www.anquanke.com/post/id/87203 源码 五字版本 <?php $sandbox = '/www/sandbox/' . md5("orange&quo…
WHUCTF2020
武汉大学的CTF,难的简单的都有,最近比赛是真滴多,打完金盆洗手了 Easy_sqli 考点:bool盲注,双写绕过 简单,没啥好讲的 #wh1sper import requests host = 'http://218.197.154.9:10011/login.php#' def mid(bot, top): return…
SWPU2019 复现
Web2 考点:redis弱口令,python反序列化 BUU上面的环境需要 Shadowsocks 代理才能访问,配置这个都搞了半天(tcl 下载配置shadowsocks sudo apt-get install shadowsocks 连接代理 sslocal -s node3.buuoj.cn -p 11111 -k 123456 报错:A…