UCASZ的小站

UCASZ的小站

JAVA反序列化学习

本文主要记录java反序列化的内容(方便需要的时候回忆),之前因各种原因一直拖着,最近终于补上了这方面的技能树。 另外,后面好几部分都在一定程度上参考了该项目中的内容,先表示感谢。 基本环境配置...

zip在CTF-web方向中的一些用法

经常能够看到zip文件在web方向的一些应用,总能给人带来各种惊喜,小编今天就给大家来盘点一下zip文件奇奇怪怪的利用或者说是处理的方式(垃圾营销号式开头。 所以是怎么回事呢?啊对对对就是这么一...

对cobaltstrike4.4的简单魔改

之前,对于cobaltstrike破解版使用的解决方案是白嫖来的cobaltstrike原版包(记得检查hash值)结合cobaltstrike破解器。这样能够相对轻松地使用破解版却用着相对踏实...

JavaScript/JPEG|GIF bypass CSP

今年除夕真棒,在农历新年0:02的时候做完了利用ploytlot JPEG bypass CSP的一道题。本来能在农历去年做完的,但因为利用了别人的拉挎脚本(其实是自己眼瞎)导致耽误了不少时间。...

CTF-web迅速准备调试环境的技巧

这里说的是直接给出docker环境的题目的情况,老是需要重新配调试环境是非常费时间和心态的一件事,但是很多时候题目和调试环境联系过于密切因而不得不在原先基础上整一个调试环境出来。这里简单说下一些...

重构博客的一些想法

之前博客用的都是wordpress框架,经过了三次较大的改进,视觉效果很不错,也比较适合阅读(个人认为)。 但是有个很大的问题:就是我平时是用markdown写东西的,将里面的内容迁移到博客上的...

对XSS进阶笔记的补充

那篇文章后半部分充斥着一些不太友好的题目,结果导致一些关键的技术并没有得到很好地阐述,理解也相对浅薄。本文就是针对个人觉得欠缺之处进行补充学习的记录。 文字内容大多摘录别人文章,不过是根据个人所...

XSS进阶笔记

这里的内容通过一些XSS题目,以此来引导出相应的知识——虽然基础知识部分放在前面但真心觉得随便过一下然后在做例题的时候回头看比较合适。 感谢下面所有题目的出题老哥,都是非常不错的练习! 以下内容...

我的专业选择

以后可能地理类的博文不会再发了,但会发一些网安方面的。我本科是地理系的,不过在以后研究生阶段应该转到网安方向了。 这篇文章是本人专业选择的故事。这种事已让我头疼已久,我甚至很难理解自己写这篇文章...

PHP_SSTI

这里是关于php语言SSTI漏洞的文章。既然是模板注入,那么对于php语言来说,很危的必然是eval——注意它是语言解释器而不是函数! 所以接下来审计的第一步都是搜索eval,然后再一点点找到用...