UCASZ的小站
差劲网络下docker pull的解决办法
近几个月网络环境不佳,docker镜像的下载一直莫名其妙会中断,啥啥EOF的那种,然后又得从头docker pull。经常几个小时都下载不下来,让人抓狂!!! 换国内源,开代理,各种办法都试过,...
对ProxyLogon和ProxyShell的复现调试
ProxyLogon和ProxyShell是很经典的老洞了,最近稍微空了一点,所以来简单学习下,文章写得可能也比较潦草,就这样吧,累了QAQ 环境搭建含漏洞的Exchange环境搭建可以参考这篇...
postMessage安全问题
最近看到两个比较有意思的postMessage安全问题,虽然简单但是有趣。 通常对于两个不同页面的脚本,只有当执行它们的页面位于具有相同的协议(通常为https)、端口号以及主机(两个页面的do...
对某表达式类验证码的识别
在一些场景我们可能需要识别验证码,本文就简单介绍我遇到的某个场景该如何完成验证码的识别,其实就相当于一个简单例子。你甚至可以把本文当做这个项目的简单实践。 事情是这样的,某网站用到了验证码,然后...
JAVA反序列化学习
本文主要记录java反序列化的内容(方便需要的时候回忆),之前因各种原因一直拖着,最近终于补上了这方面的技能树。 另外,后面好几部分都在一定程度上参考了该项目中的内容,先表示感谢。 基本环境配置...
zip在CTF-web方向中的一些用法
经常能够看到zip文件在web方向的一些应用,总能给人带来各种惊喜,小编今天就给大家来盘点一下zip文件奇奇怪怪的利用或者说是处理的方式(垃圾营销号式开头。 所以是怎么回事呢?啊对对对就是这么一...
对cobaltstrike4.4的简单魔改
之前,对于cobaltstrike破解版使用的解决方案是白嫖来的cobaltstrike原版包(记得检查hash值)结合cobaltstrike破解器。这样能够相对轻松地使用破解版却用着相对踏实...
JavaScript/JPEG|GIF bypass CSP
今年除夕真棒,在农历新年0:02的时候做完了利用ploytlot JPEG bypass CSP的一道题。本来能在农历去年做完的,但因为利用了别人的拉挎脚本(其实是自己眼瞎)导致耽误了不少时间。...
CTF-web迅速准备调试环境的技巧
这里说的是直接给出docker环境的题目的情况,老是需要重新配调试环境是非常费时间和心态的一件事,但是很多时候题目和调试环境联系过于密切因而不得不在原先基础上整一个调试环境出来。这里简单说下一些...
重构博客的一些想法
之前博客用的都是wordpress框架,经过了三次较大的改进,视觉效果很不错,也比较适合阅读(个人认为)。 但是有个很大的问题:就是我平时是用markdown写东西的,将里面的内容迁移到博客上的...