划水嘶吼misc [题目描述]: 开局一张图,flag全靠编 [题目writeup]: 瞅半天,瞅到二维码 然后用potplayer按帧查找到skr二维码 通过PS自动调整对比度,扫出key1,2,3,4…

easy calc 这次的比赛自己一题都没有做出来,赛后看题解的时候很难受,其实有很多东西自己其实是可以做出来的,但是思路被限制了,可能这就是菜吧. 首先web题目就是一个easy calc,emmmmmmm.想一想当初De1CTF2019的那道计算器.脑子头大.但是这一题是没有那么难. 首先打开网页是一个简单的提交页面.  这里面是提交到calc.php这个文件中,这里面有一个坑,就是要想看到源码,必须要不提交数据(但是我就没有看出这一点导致后面的路越来越难走,以至放弃). 获取源码 我们去…

进入之后可以看到我们需要输入一个计算式来得到答案,burpsuite进行抓包之后发现页面来自于calc.php 我们直接访问calc.php页面 发现源代码泄露 可以看到当我们没有输入num值的时候就会显示源代码,否则对输入的num进行eval命令执行,在命令执行之前有黑名单过滤. 我们需要绕过黑名单进行命令执行. 虽然是这样,但是ls不在黑名单执行里面,所以我们先ls一下 返回了403界面. 这里很可能是因为有waf设备保护着输入的参数,这里我们利用php的特性,使用php字符串解析绕过WAF…

0x00 记录一下,代表自己做过 0x01 flag_universe 看简介是来自2018年的百越杯. 将文件下载下来后,就一个flag_universe.pcapng文件,wireshark打开. 追踪tcp流,发现是FTP传输文件,传输的是一张图片.(心想难不成直接图片就显示了flag) 先尝试能不能导出文件,额,不行,试了一会发现,还是自己找数据吧. 会发现3.4.6.11.13.14处发现png图片的数据流以及7.8处的base64加密的假的flag值. 仔细观察发现4和11处的数据不…

第一场 难题未解 布景:铁岭,晴天,午后,风.在一幢还算气派的写字楼的三层外墙上,挂着一条红色横幅,上面用歪歪扭扭的毛笔字写着"东北F4软件外包工作室".大风中,那早已褪色的条幅剧烈地抖动着,发出阵阵嘶吼.房间内,东北F4正在为大鹏科技股份有限公司开发一款"大侠"游戏. 刘能(坐在椅子上,扭头冲众人):好--好啦,搞--搞定!我创建了一个大侠虚基类,然后派生出了三峡和张凤霞两--两个实例,每个大侠有两个功能:攻击和隐--隐身.这是我画的那什么U--U什么图: 刘能:…

<嫌疑人X的献身>是日本著名推理小说作家东野圭吾的代表作之一.1985年东野圭吾以一本<放学后>出道,出道初期善于写精巧细致的本格推理,后期文笔愈发老辣.简练.2005年东野圭吾出版的<嫌疑人X的献身>,引起巨大的轰动,将第134届直木奖.第6届本格推理小说大奖及当年日本三大推理小说排行榜的第一一并收入囊中,创造了日本推理小说史上的奇迹. 本文讲述的是天才数学家石神为了保护暗恋许久的花岗靖子,不惜付出一切代价向警方隐瞒花岗靖子失手杀人的事实而造了惊天的诡计,让警方深深陷…

欢迎各位转载, 以让微信团队重视这些恼人的BUG. 请注明出处微信JSSDK与录音相关的坑 by lzl124631x 最近一直在做微信JSSDK与录音相关的功能开发, 遇到了各种奇尺大坑, 时不时冷不丁地被坑一道, 让我时常想嘶吼: "微信JSSDK就是个大腊鸡!!!!!!!!!!" 现在工作得到阶段性成果, 有时间休息总结下, 故来整理一下这段时间碰到的bug, 希望做个前车之鉴, 劝大家谨慎入坑. checkJsApi 功能: 判断当前客户端版本是否支持指定JS接口 我遇到的一个…

虚拟继承下的对象构造: 由于虚拟基类对象在子类中只能保持一个实例,那么,子类构造的时候调用父类的构造函数的时候必须保证虚拟基类对象不能够重复构造. 那么如何保证基类对象的唯一性? C++规定虚拟基类对象的构造只能是最外层的子类进行构造,浅层次的子类将不会在进行构造,保证了虚拟基类对象的唯一性. 在虚拟继承体系下,子类的构造函数中必须做一个判断,设置一个标准位,用来判断虚拟基类对象是否已经构建,然后将该标志为传递给浅层次的子类,那么虚拟基类将不会再次构造. 例如,编译器会为子类构造函数内部设置标志…

本章将要和大家分享的是一个单点登录中间件,中间件听起来高深其实这里只是吧单点登录要用到的逻辑和处理流程封装成了几个方法而已,默认支持采用redis服务保存session的方式,也可以使用参数Func<>方法来做自定义session存储操作的方式,就不用我默认提供的redis存储的方法了:要说本章内容的来源,其实是我在以前的ShenNiu.MVC管理系统中加入了最近做的调查问卷模块,这个问卷调查和ShenNiu.MVC不是一个站点,但是我的问卷调查系统可定在维护问卷或题目的时候需要登录人的信息,…

本周的七个关键词: 外星恶意代码 丨 任意解锁iPhone 丨  安卓9.0 丨 黑客攻击医疗设备 丨 仙女座僵尸网络 丨  苹果联合创始人被骗比特币 丨JavaScript -1-   [恶意代码]科学家警告来自外星的恶意代码 来源:solidot ------------------------------------------------------ 2050 年,地球收到了一个外星文明发送来的的首条星际编码信息.由科学家.语言学家和数学家组成的国际团体日以继夜的破解了信息.然而,在代码…