zoey

浅析CTF绕过字符数字构造shell

发表于 2020-12-21 更新于 2021-08-04
本文字数： 7k 阅读时长 ≈ 6 分钟

前言

作为CTF中，虽然有很多文章有这方面的资料，但是相对来说比较零散，这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。

无字母数字webshell简单来说就是payload中不能出现字母，数字（有些题目还有其他一些过滤），通过异或取反等方法取得flag。

阅读全文 »

杂项

发表于 2020-12-21 更新于 2021-08-05
本文字数： 1.1k 阅读时长 ≈ 1 分钟

图片中的密码

打开图片发现jpg文件尾和rar文件头，截取rar文件

阅读全文 »

关于linux的一些知识点

发表于 2020-11-29 更新于 2021-08-04
本文字数： 3.5k 阅读时长 ≈ 3 分钟

linux系统

RedHat系列	Deblian系列
Redhat	Debian
Centos	Ubuntu
Fedora等	Kali Linux等

阅读全文 »

简单的计算题（python脚本）

发表于 2020-11-10 更新于 2021-08-04
本文字数： 12k 阅读时长 ≈ 11 分钟

1	靶机：http://47.98.234.232:8000

第一种解法

对源码进行简化可得

阅读全文 »

文件上传漏洞

发表于 2020-10-31 更新于 2021-08-04
本文字数： 3k 阅读时长 ≈ 3 分钟

文件上传漏洞原因

一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码。

通常造成文件上传漏洞的原因是对于上传文件的后缀名（扩展名），类型，以及内容没有做好严格的限制等等一些原因。

阅读全文 »

SQL 注入基础

发表于 2020-10-30 更新于 2021-08-04
本文字数： 7.1k 阅读时长 ≈ 6 分钟

SQL注入就是指Web应用程序对用户输入数据的合法性没有判断，前端传入后端的参数是可控的，并且参数带入数据库查询，攻击者可以通过构造不同的SQL语句来实现对数据库的任意操作。

SQL注入漏洞的产生需要满足的条件：

1，参数用户可控：前端传给后端的参数内容是用户可以控制的。

2，参数带入数据库查询时：传入参数拼接到SQL语句，且带入数据库查询。

阅读全文 »

反序列化漏洞

发表于 2020-10-09 更新于 2021-08-04
本文字数： 6.8k 阅读时长 ≈ 6 分钟

基本概念

把对象转换为字节序列的过程称为对象的序列化；把字节序列恢复为对象的过程称为对象的反序列化。

对象的序列化主要有两种用途：

阅读全文 »

主题配置

发表于 2020-09-17 更新于 2021-08-05
本文字数： 1.3k 阅读时长 ≈ 1 分钟

下载地址

1	https://github.com/theme-next/hexo-theme-next

下载主题zip包并下载，解压放在博客根目录/themes 重命名文件夹为next。

或博客根目录打开命令行，输入命令

1	git clone https://github.com/theme-next/hexo-theme-next themes/next

阅读全文 »

搭建博客

发表于 2020-09-12 更新于 2021-08-04
本文字数： 3k 阅读时长 ≈ 3 分钟

github搭建博客

使用github来托管项目文件

仓库：即你的项目，你想在github上开源一个项目，就必须要新建一个Repository。

创建项目项目名：用户名.github.io

搭建步骤：创建个人站点–新建仓库（注:仓库名必须是【用户名.github.io】）

阅读全文 »