https://blog.r1ce.cn/img/avatar.png 2025-08-22T16:22:48.134Z https://blog.r1ce.cn/ Yime Hexo https://blog.r1ce.cn/4b7d6d331ed3/ 2025-08-22T15:18:57.000Z 2025-08-22T16:22:48.134Z

<h1 id="LilCTF-2025-Ekko-note-详细思路及复现"><a href="#LilCTF-2025-Ekko-note-详细思路及复现" class="headerlink" title="LilCTF 2025 Ekko_note

https://blog.r1ce.cn/4278413015bc/ 2025-04-29T07:43:34.000Z 2025-08-22T16:22:48.283Z

这篇博客文章详细介绍了SSRF（Server-Side Request Forgery）服务端请求伪造漏洞的基本概念、利用方式以及常见场景。文章通过一系列CTF题目的解题步骤，展示了如何利用SSRF漏洞进行内网访问、伪协议读取文件、端口扫描、POST请求和文件上传等操作。每个题目都提供了详细的解题思路和具体操作步骤。

https://blog.r1ce.cn/6eb8c1fafc8e/ 2025-04-29T07:43:22.000Z 2025-08-22T16:22:48.263Z

这篇博客文章深入探讨了XSS（跨站脚本攻击）漏洞的三种主要类型：反射型、存储型和DOM型，并详细介绍了每种类型的攻击流程、危害及绕过技巧。文章通过具体CTF题目的解题步骤，展示了如何利用XSS漏洞获取用户cookie信息，并提供了绕过常见过滤机制（如空格和关键词过滤）的实用方法。

https://blog.r1ce.cn/e6024a3b5556/ 2025-04-29T07:42:36.000Z 2025-08-22T16:22:48.255Z

这篇博客文章总结了CTF比赛中区块链相关题目的解题过程，重点介绍了以太坊区块链的基础知识、智能合约安全以及Solidity语言的使用。文章从区块链的去中心化设计、以太坊模型、账户类型、共识机制（PoW和PoS）等基础知识入手，逐步深入到智能合约的部署与交互，以及常见的安全漏洞（如整型溢出）的利用。通过具体题目（如Hello Ethernaut和Token）的解题步骤，展示了如何分析合约代码、调用合约方法以及利用漏洞获取flag。

https://blog.r1ce.cn/38f003848818/ 2025-04-29T07:42:23.000Z 2025-08-22T16:22:48.219Z

在这篇网安周报中，我们复现了第二次校赛的CTF题目，涵盖了Misc和Web两大方向。Misc部分通过流量分析、文件隐写和明文攻击等技术，成功解密了冰蝎木马、修复PNG高度隐写以及解析GIF帧间隔获取flag。Web部分则利用JWT破解、暴力破解、反序列化漏洞和Git泄露等技术，获取了管理员权限并读取环境变量中的flag。

https://blog.r1ce.cn/d9fa2d56428e/ 2025-04-29T07:41:31.000Z 2025-08-22T16:22:48.314Z

这篇CTF学习笔记详细介绍了PHP反序列化的原理、漏洞利用方法以及相关魔术方法的触发机制。

https://blog.r1ce.cn/f072f4693d7d/ 2025-04-29T07:38:10.000Z 2025-08-22T16:22:48.303Z

这篇寒假周报记录了CTF比赛中Web和Misc题目的解题过程。Web部分包括PHP反序列化漏洞、SHA1的0e绕过、命令执行漏洞以及Python SSTI模板注入的分析与利用。Misc部分涉及盲水印解密、正则表达式破解和音频频谱分析等技术。文章通过具体题目展示了从代码分析到漏洞利用的完整流程，并提供了详细的解题步骤和工具使用说明。

https://blog.r1ce.cn/6aee4bddabd6/ 2025-01-25T15:41:58.000Z 2025-08-22T16:22:48.167Z

SSTI，全称是服务器端模板注入，是一种通过注入恶意模板代码攻击服务器的漏洞。在 Web 开发中，模板引擎是一种工具，用于将后端数据嵌入到 HTML 模板中，动态生成网页内容。它通过占位符将数据渲染到 HTML 页面中，实现逻辑与展示分离，提升开发效率和代码可维护性。然而，如果开发者未对用户输入进行充分的安全处理，攻击者可能利用 SSTI 注入恶意模板代码，导致服务器执行未授权操作，例如敏感信息泄露、任意文件读取或修改，甚至远程命令执行，最终可能完全控制服务器，严重威胁应用程序的安全性。

https://blog.r1ce.cn/8a27fcb04998/ 2025-01-21T17:01:36.000Z 2025-08-22T16:22:48.194Z

<h1 id="湘岚杯-XLCTF-Writeup"><a href="#湘岚杯-XLCTF-Writeup" class="headerlink" title="湘岚杯 - XLCTF Writeup"></a>湘岚杯 - XLCTF Writeup</h1><h2

https://blog.r1ce.cn/9aac0f3ccf55/ 2024-11-19T11:24:47.000Z 2025-08-22T16:22:48.144Z

记录一下自己进入大学后打的第一场CTF比赛。

https://blog.r1ce.cn/1ac1612c4cb6/ 2024-09-16T12:18:13.000Z 2025-08-22T16:22:48.097Z

HTTP/1.1协议中的八种请求方法： GET ：请求指定资源的表示，通常用于读取数据，不应有副作用。POST ：向服务器提交数据，用于创建或处理资源。HEAD ：与 GET 类似，但只返回响应头部，不包含具体内容。PUT ：上传或更新服务器上的资源。DELETE ：删除服务器上的指定资源。CONNECT ：建立到服务器的隧道连接，通常用于 HTTPS 或其他协议的代理。OPTIONS ：查询服务器支持的 HTTP 方法，通常用于跨域请求预检。TRACE ：回显服务器收到的请求，用于诊断或调试。

https://blog.r1ce.cn/6e764c59f73c/ 2024-07-30T10:56:03.000Z 2025-08-22T16:22:48.116Z

经过前两篇文章之后，Hexo 博客的搭建已经基本完成。本篇便来补齐最后一块拼图—— Twikoo 评论系统。通过对其进行搭建和配置，来实现 Hexo 博客的评论功能。

https://blog.r1ce.cn/aa98fabcce67/ 2024-07-29T08:05:58.000Z 2025-08-22T16:22:48.107Z

本篇文章将作为 Hexo 博客搭建的第二部分。主要内容是对 Butterfly 主题进行配置，并且修改一些主题源码来实现自定义的样式。Butterfly 所提供的主题配置文件行数近千，想要介绍完每一项具体配置难度较大。所以说本篇文章只会针对本博客所使用到的配置进行介绍，最终配置完成后基本达到与本博客样式一致。如果想要对 Butterfly 主题进行其他配置，强烈推荐阅读官方文档。

https://blog.r1ce.cn/eb5fa6bf3c86/ 2024-07-28T13:35:24.000Z 2025-08-22T16:22:48.167Z

为了不让博客荒废掉，总要先写点什么。思来想去，这段时间在整的东西就只有这个博客了。于是，这篇文章将分享如何搭建出一个这样的博客。如果你对此感兴趣，或者想要搭出来一个与之相似的博客，那就看下去吧。