Yime's Blog

SSTI，全称是服务器端模板注入，是一种通过注入恶意模板代码攻击服务器的漏洞。在 Web 开发中，模板引擎是一种工具，用于将后端数据嵌入到 HTML 模板中，动态生成网页内容。它通过占位符将数据渲染到 HTML 页面中，实现逻辑与展示分离，提升开发效率和代码可维护性。然而，如果开发者未对用户输入进行充分的安全处理，攻击者可能利用 SSTI 注入恶意模板代码，导致服务器执行未授权操作，例如敏感信息泄露、任意文件读取或修改，甚至远程命令执行，最终可能完全控制服务器，严重威胁应用程序的安全性。

湘岚杯 - XLCTF WriteupMisc别呀啦（签到） XLCTF{} 解题步骤 打开附件压缩包，找到修改时间最新的文件，顺着解压出来，即可找到FLAG所在的文件。 ​ Flag1XLCTF{xnnxixixi6-666-666-love} 宇宙编史解题步骤 打开下载下来的压缩包，发现有加密。 ​ 拖进010Editor，发现是伪加密，将加密标志位改回，即可正常解压压缩包。 ​ 用Vim查看解压出来的文本文件，找到一段零宽字符隐写。 ​ 使用零宽字符在线解密网站，解码后即可获得flag。 ​ Flag1flag{you_know_use_0_zero} 寻找flag碎片之旅 你就是传说中的勇者！快去寻找FLAG碎片拯救世界吧！ （flag全是大写字母，并且没有空格） 备用链接：https://mega.nz/file/NnsmESjZ#-U9Ng4Ftp6qAZYzy0cj0L2HH8JqbQS8UpZzvYBxmyCE 解题步骤 首先使用“RPGMaker Decrypter”工具将“Game.rgss3 ...

记录一下自己进入大学后打的第一场CTF比赛。

HTTP/1.1协议中的八种请求方法： GET ：请求指定资源的表示，通常用于读取数据，不应有副作用。POST ：向服务器提交数据，用于创建或处理资源。HEAD ：与 GET 类似，但只返回响应头部，不包含具体内容。PUT ：上传或更新服务器上的资源。DELETE ：删除服务器上的指定资源。CONNECT ：建立到服务器的隧道连接，通常用于 HTTPS 或其他协议的代理。OPTIONS ：查询服务器支持的 HTTP 方法，通常用于跨域请求预检。TRACE ：回显服务器收到的请求，用于诊断或调试。

经过前两篇文章之后，Hexo 博客的搭建已经基本完成。本篇便来补齐最后一块拼图—— Twikoo 评论系统。通过对其进行搭建和配置，来实现 Hexo 博客的评论功能。

本篇文章将作为 Hexo 博客搭建的第二部分。主要内容是对 Butterfly 主题进行配置，并且修改一些主题源码来实现自定义的样式。Butterfly 所提供的主题配置文件行数近千，想要介绍完每一项具体配置难度较大。所以说本篇文章只会针对本博客所使用到的配置进行介绍，最终配置完成后基本达到与本博客样式一致。如果想要对 Butterfly 主题进行其他配置，强烈推荐阅读官方文档。