CTF学习笔记 - SSRF服务端请求伪造
这篇博客文章详细介绍了SSRF(Server-Side Request Forgery)服务端请求伪造漏洞的基本概念、利用方式以及常见场景。文章通过一系列CTF题目的解题步骤,展示了如何利用SSRF漏洞进行内网访问、伪协议读取文件、端口扫描、POST请求和文件上传等操作。每个题目都提供了详细的解题思路和具体操作步骤。
CTF学习笔记 - XSS跨站脚本攻击
这篇博客文章深入探讨了XSS(跨站脚本攻击)漏洞的三种主要类型:反射型、存储型和DOM型,并详细介绍了每种类型的攻击流程、危害及绕过技巧。文章通过具体CTF题目的解题步骤,展示了如何利用XSS漏洞获取用户cookie信息,并提供了绕过常见过滤机制(如空格和关键词过滤)的实用方法。
CTF学习笔记 - 区块链
这篇博客文章总结了CTF比赛中区块链相关题目的解题过程,重点介绍了以太坊区块链的基础知识、智能合约安全以及Solidity语言的使用。文章从区块链的去中心化设计、以太坊模型、账户类型、共识机制(PoW和PoS)等基础知识入手,逐步深入到智能合约的部署与交互,以及常见的安全漏洞(如整型溢出)的利用。通过具体题目(如Hello Ethernaut和Token)的解题步骤,展示了如何分析合约代码、调用合约方法以及利用漏洞获取flag。
第二次校赛Web题目复现
在这篇网安周报中,我们复现了第二次校赛的CTF题目,涵盖了Misc和Web两大方向。Misc部分通过流量分析、文件隐写和明文攻击等技术,成功解密了冰蝎木马、修复PNG高度隐写以及解析GIF帧间隔获取flag。Web部分则利用JWT破解、暴力破解、反序列化漏洞和Git泄露等技术,获取了管理员权限并读取环境变量中的flag。
CTF学习笔记 - PHP 反序列化
这篇CTF学习笔记详细介绍了PHP反序列化的原理、漏洞利用方法以及相关魔术方法的触发机制。
第一次校赛Web题目复现
这篇寒假周报记录了CTF比赛中Web和Misc题目的解题过程。Web部分包括PHP反序列化漏洞、SHA1的0e绕过、命令执行漏洞以及Python SSTI模板注入的分析与利用。Misc部分涉及盲水印解密、正则表达式破解和音频频谱分析等技术。文章通过具体题目展示了从代码分析到漏洞利用的完整流程,并提供了详细的解题步骤和工具使用说明。