• 1. Circles - Post
  • 2. Hollywood's_Bleeding - Post
  • 3. A_Thousand_Bad_Times - Post
  • 4. Allergic - Post
  • 5. Happier - Marshmello
  • 6. Here_With_Me - Marshmello

2019_HECTF初赛WP -web部分

前言

这次学习了一个P神code-breaking中的pickle反序列化命令执行的问题,之前也使用过django框架做过简单的博客,但对django框架的理解不是很到位,基本属于照搬,因此除了题解外也会记录一些有关django的笔记。

前言

今天做了一下欠了很久的code-breaking,前面已经陆陆续续把简单的php题给清理了,但今天这个nodechr,做起来还是非常有趣的,也了解了python和js函数的一些特性,这里也把P神之前的无字母数字构造webshell做个fuzz小总结

反序列化的基础知识

这周本来准备更一篇typecho老旧版本的反序列化漏洞复现和分析的,但是在代码审计的时候出现了一些原理性的问题需要解决,这才发现自己并没有完全理解反序列化漏洞的实质,因此这周先更新一篇学习笔记,同时非常感谢这位博主的博客,解决了菜鸡的疑惑.....

前记

说好了每周一篇代码审计,虽然yxcms那个挖的坑还不小,但是看了一下目前的CTF题目和Thinkphp关系大点,所以先来审计一篇Thinkphp吧,这个洞是今年年初爆出的,虽然已经有团队给出了比较详细的分析文章,但还是斗胆在这里写上自己的分析文章.