CTF-Tricks 2017.9-2018.1

两个多月没更新之后,除夕夜的前一天,失踪人口回归了~~~
这两个多月感觉瞎忙活了不少,又好像没学到啥东西,今天更篇博客,总结一下这半年打ctf积累的姿势,算是给这一年画上一个不太完美的句号吧。(留下的坑年后慢慢填吧:p)

Continue Reading...

探究php框架中的模板注入问题

本文的灵感来自于前不久swpu的一道ctf题目——You Think I Think,由于那周要参加省赛,所以没有好好看这些题目,现在回过头来看大佬的wp,感觉学到不少东西。

言归正传,服务端模板注入(ssti)是早些时候首先在python的web框架如flask、Django中被发现的,在模板中有用户可控部分,通过注入{{ some py code }}来执行(任意)python代码。这次我们主要看一下php框架(thinkphp3、5,laravel,就会这两个,其他的之后补充吧。。)是如何处理这个问题的。

Continue Reading...

XDCTF web write up

国庆在家打了一波xdctf,题目质量挺高的,学到了不少东西。整理了一下web题目,感觉web题的比重越来越小,web狗可能要踏上艰难的转型路了。。。

Continue Reading...