SSTI - 服务器端模板注入
SSTI,全称是服务器端模板注入,是一种通过注入恶意模板代码攻击服务器的漏洞。在 Web 开发中,模板引擎是一种工具,用于将后端数据嵌入到 HTML 模板中,动态生成网页内容。它通过占位符将数据渲染到 HTML 页面中,实现逻辑与展示分离,提升开发效率和代码可维护性。然而,如果开发者未对用户输入进行充分的安全处理,攻击者可能利用 SSTI 注入恶意模板代码,导致服务器执行未授权操作,例如敏感信息泄露、任意文件读取或修改,甚至远程命令执行,最终可能完全控制服务器,严重威胁应用程序的安全性。
湘岚杯 - XLCTF Writeup
湘岚杯 - XLCTF WriteupMisc别呀啦(签到)
XLCTF{}
解题步骤
打开附件压缩包,找到修改时间最新的文件,顺着解压出来,即可找到FLAG所在的文件。
Flag1XLCTF{xnnxixixi6-666-666-love}
宇宙编史解题步骤
打开下载下来的压缩包,发现有加密。
拖进010Editor,发现是伪加密,将加密标志位改回,即可正常解压压缩包。
用Vim查看解压出来的文本文件,找到一段零宽字符隐写。
使用零宽字符在线解密网站,解码后即可获得flag。
Flag1flag{you_know_use_0_zero}
寻找flag碎片之旅
你就是传说中的勇者!快去寻找FLAG碎片拯救世界吧! (flag全是大写字母,并且没有空格)
备用链接:https://mega.nz/file/NnsmESjZ#-U9Ng4Ftp6qAZYzy0cj0L2HH8JqbQS8UpZzvYBxmyCE
解题步骤
首先使用“RPGMaker Decrypter”工具将“Game.rgss3 ...
SHCTF2024 - WriteUp
记录一下自己进入大学后打的第一场CTF比赛。
CTF学习笔记 - Web前置技能之HTTP协议
HTTP/1.1协议中的八种请求方法: GET :请求指定资源的表示,通常用于读取数据,不应有副作用。POST :向服务器提交数据,用于创建或处理资源。HEAD :与 GET 类似,但只返回响应头部,不包含具体内容。PUT :上传或更新服务器上的资源。DELETE :删除服务器上的指定资源。CONNECT :建立到服务器的隧道连接,通常用于 HTTPS 或其他协议的代理。OPTIONS :查询服务器支持的 HTTP 方法,通常用于跨域请求预检。TRACE :回显服务器收到的请求,用于诊断或调试。
Hexo 博客之部署并配置 Twikoo 评论系统
经过前两篇文章之后,Hexo 博客的搭建已经基本完成。本篇便来补齐最后一块拼图—— Twikoo 评论系统。通过对其进行搭建和配置,来实现 Hexo 博客的评论功能。
Hexo博客之Butterfly主题配置及美化
本篇文章将作为 Hexo 博客搭建的第二部分。主要内容是对 Butterfly 主题进行配置,并且修改一些主题源码来实现自定义的样式。Butterfly 所提供的主题配置文件行数近千,想要介绍完每一项具体配置难度较大。所以说本篇文章只会针对本博客所使用到的配置进行介绍,最终配置完成后基本达到与本博客样式一致。如果想要对 Butterfly 主题进行其他配置,强烈推荐阅读官方文档。