1、在程序中用于定义名称的都为标识符,如文件名称、类名称、方法名称或变量名称等,在Java中标识符的顶一个是由字母、数字、__、$所组成,其中不能重复,不能以数字开头,不能是Java中的关键字,而且每一个标识符都要有自己的意义,如StudentName表示的是学生姓名。 注:①:定义标识符尽量不要使 ...
分类:
其他好文 时间:
2019-01-13 21:41:08
阅读次数:
221
参考hac师傅的 "博客" 和 "CTF wiki" 自己总结一下。理解有误,请多指正。 堆块概念 堆为程序运行时可以由程序动态申请的 线性 内存区域,由低地址向高地址增长(栈为从高到低),在C语言中可以通过 和`free`进行堆块申请和释放操作。 堆块机制 堆分配中以chunk为单位,其中chun ...
分类:
其他好文 时间:
2019-01-13 12:22:02
阅读次数:
268
看了几天的ssti注入然后了解到有python沙箱逃逸 学过ssti注入的话python沙箱逃逸还是很容易理解的。 看一道CTF题目,源码的话我改了改,一开始不能用,直接在py2上运行就好。 题目要求读取./key的值,我们这里来执行命令。 题目一开始就删除了些危险函数,比如file等。 那删除和没 ...
分类:
编程语言 时间:
2019-01-12 17:59:34
阅读次数:
310
0x00前言 因为ctf中xss的题目偏少(因为需要机器人在后台点选手的连接2333),所有写的比较少 这里推荐个环境http://test.xss.tv/ 0x01xss作用 常见的输出函数:print()、 print_r()、 echo、 printf()、 sprintf()、 die()、 ...
分类:
其他好文 时间:
2019-01-12 15:56:52
阅读次数:
634
这道题是在看红日安全团队的代码审计系列文章时碰到的,感觉挺有意思的,所以做了下。题目代码如下 绕过原理利用的是HTTP参数污染、$_SERVER['REQUEST_URI']以及$_REQUEST会对特殊字符(空格、.、[)转换成_。详细可参考文章request导致的安全性问题分析。 利用POC: ...
分类:
其他好文 时间:
2019-01-12 12:01:49
阅读次数:
249
题目内容: 对百度杯用时下最流行的表白 (去调戏i春秋公众号) 大声说出你的爱!!! 这我真的解不出来...看了别人的结题思路原来是要回复:百度杯么么哒 (0.0 这我真的猜不到),回复后得到flag。 flag:flag{baIdU_8ei_meme_D0} 总结:有的时候签到题真的没有思路0.0 ...
分类:
其他好文 时间:
2019-01-07 17:42:15
阅读次数:
404
天网你敢来挑战嘛 格式:ctf{ } 格式:ctf{ } 解题链接: http://ctf5.shiyanbar.com/10/web1/ 打开链接后,嗯,光明正大的放出账号密码,肯定是登不进的,查看源代码 看来是和md5碰撞有关的了, PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进 ...
分类:
其他好文 时间:
2019-01-06 13:38:05
阅读次数:
485
题目内容:关注i春秋微信(微信号:icqedu)回复CTF会有意想不到的内容哦 按题目来,首先关注公众号蛤(0.0)。 回复 CTF ,它给你个这玩意。 傻子都知道回复个关注了。让后就问你星期几,我按照正常的步骤发,结果发现不能正常的触发,全试了一遍发现只有星期天才能触发,触发后就是无限循环的你好。 ...
分类:
其他好文 时间:
2019-01-01 19:56:01
阅读次数:
196
解决org.hibernate.HibernateException: identifier of an instance of com.ahd.entity.Order was altered from2 to 0 ...
分类:
Web程序 时间:
2018-12-31 19:13:43
阅读次数:
337
笔者某偏远211软件工程专业,学过的语言包括C/C++/C#/Java,奈何实在码不动代码,只好跑来做安全了。然而接触安全之后,才发现如果想成为一个大牛开发能力是多么的必要。 之所以提笔这个系列,只要两个原因:一是,笔者接触代码审计转眼间已经八个多月了,代码审计工作主要是商业代审工具与人工结合的方式 ...
分类:
其他好文 时间:
2018-12-30 22:16:30
阅读次数:
241
