比赛概述总体上来说,比赛难度还是有的但是我自身的一些欠缺也是存在的,赛后复盘的时候发现自己在一些地方没注意,导致该拿的分数没拿到,这是真的非常可惜的ezphp2这是一道反序列化的题目,源码如下:<...
Java堆栈溢出漏洞分析
堆栈 什么是堆栈?在思考如何找堆栈溢出漏洞之前,先来弄懂什么是堆栈。Java的数据类型在执行过程中存储在两种不同形式的内存中:栈(stack)和堆(deap),由运行Java虚拟...
【原创】CTFShow—F5杯(web篇)
[huayang] eazy-unserialize <?php include "mysqlDb.class.php"; class ctfshow{ public $method; publ...
原创 | java反序列化从0到cc1
点击蓝字关注我们前言java安全已成为安全从业者必不可少的技能,而反序列化又是Java安全非常重要的一环。于是本文将从0基础开始,带着大家层层递进,从java基础到URLDNS链到最终理解反序列化cc...
TP6多语言漏洞+拓展
TP6多语言漏洞+拓展ZAC安全#2022#////前言 最近出来的TP多语言洞还是挺火热的,分析了之后发现实际利用难度较大,但...
亚马逊云曝出“超级漏洞”,攻击者可删除任何镜像
关注我们带你读懂网络安全近日,Lightspin安全分析师在Amazon ECR(弹性容器注册表)公共库中发现一个严重漏洞,允许攻击者删除任何容器映像或将恶意代码注入其他AWS账户的镜像。Amazon...
Java 代码审计题目类型和修复方案
Java 代码审计行为问题不可控的内存分配存在问题的代码:public class Example { public&nbs...
【漏洞复现】ThinkPHP 多语言模块RCE
免责声明本公众号仅用于技术交流与学习,利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号只是知识的搬运工,取之于民用之于民。Exp# 写文件http://172...
【原创】记一次ctf实战—— 0CTF-2016-Web-piapiapia(失败)
[huayang] 老样子,进去看看 看看有没有注入 这提示看着就不像有过滤的,会不会像那次做的那题一样是泄露呢BDJCTF-2020-Web-easy_search 扫一下子域名 哇,貌似有好东西 ...
【转载】PHP面向对象编程
[huayang]转载自:大嘴蜗牛 一、PHP类和对象 类是面向对象程序设计的基本概念,通俗的理解类就是对现实中某一个种类的东西的抽象, 比如汽车可以抽象为一个类,汽车拥有名字、轮胎、速度、重量等属性...
【原创】CTFshow—反序列化(254—278)
[huayang] 头疼的序列化来了,想起被代码审计支配的恐惧,难受 web254 ?username=xxxxxx&password=xxxxxx 还是有个小知识:Public Func...
【原创】CTFShow—F5杯(web篇)
[huayang] eazy-unserialize <?php include "mysqlDb.class.php"; class ctfshow{ public $method; publ...
17