天下武功唯快不破 第一反应就去抓包,看到返回包的header中有FLAG的值,base64解码后得到下图所示 这就要求我们在请求头中post相应key的值,我直接在burp中尝试了多次都没有用,想起来这道题讲的应该是快,所以果断拿出python跑一跑 import requests import base64 url = 'http://ctf5.shiyanbar.com/web/10/10.php' r = requests.get(url).headers['FLAG'] key = ba…

打开链接"http://ctf5.shiyanbar.com/web/10/10.php",从页面内容未发现明显信息,查看源代码发现"please post what you find with parameter:key",f12看到返回response headers中有flag字样,看起来是base64加密,然后构造Post包,重新请求,即可获得flag 附Python3脚本 #coding:utf-8 import base64 import urllib.…

打开Chrome浏览器,点击右上角“三”按钮. 点击工具-----再点击开发者工具   找到Network选项框.以百度经验页面为例,点击任务选框来查看网络请求流   在Network框内会有所有的请求流 4.点击你所需要的请求流,查看头部信息   [实验吧] 查看源码: 找到提交的key进行Post提交,查看请求头: 于是把flag进行post提交: 补充: Requests 模块: >>> import requests 然后,尝试获取某个网页.本例子中,我们来获取 Github 的…

天下武功唯快不破分值:10 来源: 北邮天枢战队 难度:易 参与人数:10787人 Get Flag:2264人 答题人数:3373人 解题通过率:67% 看看响应头 格式:CTF{ } 解题链接: http://ctf5.shiyanbar.com/web/10/10.php 原题链接:http://www.shiyanbar.com/ctf/1854 [解题报告] 这是我入门Web以来写的第十六题,打开解题链接,,发现页面中提示 : There is no martial art is in…

---恢复内容开始--- 英文翻译过来嘛,就是:天下武功无快不破嘛.(出题者还是挺切题的) 看看前端源码: 注意这里 please post what you find with parameter:key 请提交你的参数key 这里我们回头看看这个题目提示说,,让我看看响应头.(ps.天枢战队才是亮点...) 那咱们就抓个包看看呗: 哦我们这里看见了这个头文件!!!!! FLAG: UDBTVF9USElTX1QwX0NINE5HRV9GTDRHOmhBbnlpRHU1dA== base64无…

题目:看看响应头 打开网站,既然已经提示我们看响应头了,那我们就看看呗(习惯bp,也可直接F12查看) 可以看到,响应头部分有个FLAG,而且有提示:please post what you find with parameter:key 所以就将FLAG解码后post,解码之后是:P0ST_THIS_T0_CH4NGE_FL4G:omiFOwSfc 所以post:key=omiFOwSfc 这样再转码,再POST,发现是个死循环,FLAG是随机随机生成的,不管post多少次都拿不到我们要提交的…

没有武术是不可摧毁的,而最快的速度是获得长期成功的唯一途径.>>>>>> ----你必须尽可能快地做到这一点!---- <<<<<< 查看源码 大概就是传递POST请求 burpsuite抓包 每次提交都失败,速度不够快 ,而且每次flag的值都会变, 那么就编写一个脚本提交post #coding:utf-8 import base64 import requests url='http://ctf5.shiyanbar.com/w…

上周去听了QCon全球开发大会,其中有几场印象比较深刻的分享,除去几个比较概念化的话题,在Java技术演进这个Topic里的几个分享都是比较有干货的(但感觉工作中用不到) 首先是关于林子熠老师分享的冷启动加速技术,听完后这几天也在思考分享中所说敢叫日月换新天的创建型技术与现有静态编译语言的对比. 演讲:天下武功,唯快不破:面向云原生应用的冷启动加速技术 分享人: 林子熠(层风) 博士 阿里巴巴 /技术专家 Java从诞生到现在已经经过了26年,在这段时间由于Java语言功能强,峰值性能高,生态支…

天下武功,无坚不摧,唯快不破! 学习一个技术,通常只接触了零散的技术点,没有在脑海里建立一个完整的知识框架和架构体系,没有系统观.这样会很吃力,而且会出现一看好像自己会,过后就忘记,一脸懵逼. 跟着「码哥字节」一起吃透 Redis,深层次的掌握 Redis 核心原理以及实战技巧.一起搭建一套完整的知识框架,学会全局观去整理整个知识体系. 系统观其实是至关重要的,从某种程度上说,在解决问题时,拥有了系统观,就意味着你能有依据.有章法地定位和解决问题. Redis 全景图 全景图可以围绕两个纬度展开…

时过境迁,Web 应用比以往任何时候都更具交互性.搞定性能可以帮助你极大地改善终端用户的体验.阅读以下的技巧并学以致用,看看哪些可以用来改善延迟,渲染时间以及整体性能吧! 更快的 Web 应用 优化 Web 应用是一项费劲的工作.Web 应用不仅处于客户端和服务器端的两部分组件当中,通常来说也是由多种多样的技术栈构建而成:数据库,后端组件(一般也是搭建在不同技术架构之上的),以及前端(HTML + JavaScript + CSS + 转译器).运行时也是变化多端的:iOS,Android,Ch…

https://mp.weixin.qq.com/s?__biz=MjM5NzA1MTcyMA==&mid=2651163004&idx=2&sn=2b1be8014abf190e160b3e68f9eb1d58&chksm=bd2ec55b8a594c4d18ac7dce588d1e07eda091265da3c82d1dbf4cf2a3a6a47e4606ac9cfe90&mpshare=1&scene=1&srcid=0318fP50RoCrh…

01 Python 必备之 PyPy PyPy 主要用于何处? 如果你需要更快的 Python 应用程序,最简单的实现的方法就是通过 PyPy ,Python 运行时与实时(JIT)编译器.与使用普通的 Python 对等程序相比,使用 PyPy 的 Python 应用程序的运行速度平均提升7.5倍.不幸的是,PyPy 与许多 Python 的明星框架并不是很好地兼容.PyPy 5.9 在解决这个问题上取得了重大进展. PyPy 5.9 的功能 数据科学框架 NumPy 和 Pandas 现在运…

原文地址 人和人之间编程速度的差异还是很大的,有的程序猿写代码非常快,有的却常常是龟速.Jeffrey Ventrella 最近在一篇文章里探讨了这种编程速度的差异,他是绝对的龟速派代表,来看看他对编程速度的看法: 我爸常跟我说的一句话是,慢一点码,才能快点把程序写完. 我在旧金山很多家互联网公司工作过,现在已经 52 岁了,对于程序猿这个职业来说,我的年龄算偏大的.我写代码的速度近乎龟速,事实上,我更像是一个会写代码的设计师. 以前有一次,我和一些比较年轻的程序猿一起工作,他们信奉的编程宗旨是…

实验吧web题: 这个有点简单 因为刚了解sqlmap,所以就拿sqlmap来练练手了 1,先测试该页面是否存在sql注入漏洞 2.找到漏洞页面,复制url,然后打开sqlmap 先查看当前数据库 然后爆出: 然后爆出数据库下的表:sqlmap.py -u "http://ctf5.shiyanbar.com/8/index.php?id=1" -D my_db –tables 字段:sqlmap.py -u "http://ctf5.shiyanbar.com/8/inde…

快速排序(Quick Sort): 这个算法的霸气程度从它的名字就可以看出来了.快速排序的应用也是非常广的的,各种类库都可以看到他的身影.这当然与它的“快”是有联系的,正所谓天下武功唯快不破. 快速排序的一个特点是,对数组的一次遍历,可以找到一个枢纽元(pivot)确定位置,还可以把这个数组以这个枢纽元分成两个部分,左边的元素值都比枢纽元小,右边的都比枢纽元大.我们递归地解决这两个子数组即可. 我们还是通过一个特殊的例子来看一下快速排序的原理: 我们假设有这样一个数组{ 4,7,3,2,8,1,…

#简单的SQL注入 http://www.shiyanbar.com/ctf/1875 1)试着在?id=1,没有错误 2)试着?id=1',出错了,有回显,说明有注入点: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1 3)先预计后台表名为fla…

自以为sql注入掌握的还是比较系统的,然而,做了这些题之后才发现,大千世界无奇不有,真是各种猥琐的思路...还是要多学习学习姿势跟上节奏 登录一下好吗?? http://ctf5.shiyanbar.com/web/wonderkun/web/index.html 试了一下发现他过滤了/ or union select - # 虽然and ' " = + %没有被过滤,但用%0b和%23都没效,于是还在想这是用了多麻烦的WAF,越想越复杂我竟然还去用xss,真是跑题了... 然而最后的paylo…

最近朋友圈和微博都刷了一波杰伦的回忆杀–说好不哭,想想都9012了,在学习react如火如荼的路上,也不妨停下脚步来总结总结,朝花夕拾一下. 为了便于阐述,我们还是来段小明和禅师的故事吧. 小明在学习路上遇到了一些问题,于是有了以下对话: <1> npm 对 yarn    小明:经历了从 npm -> cnpm -> yarn之后,没想到NPM5之后推出了一个新工具npx,比如在创建react项目时,使用命令 npx create-react-app my-app npx会将cr…

每次看别人的Writeup都有一种感觉,为什么有了WriteUp我还是不会,每次都打击自己的积极性,所以自己尝试写一篇每个萌新都能看懂的Writeup. 0x01 天下武功唯快不破 题目提示 : 看看响应头 既然让看响应头,那就看一下响应头. F12 -> 点击network -> 查看响应头 我们看到了响应头里面有一个属性FLAG.用base64编码了. 解码后是 P0ST_THIS_T0_CH4NGE_FL4G:Q3OXSguWO 就是说我们要用Post发送一条请求,然后再看页面的注释 :…

nginx的优势 是c语言开发的一个web框架 官方声称支持10W+的并发 天下武功 唯快不破 tengine+ uwsgi(多进程) + django 你公司的技术栈是什么样? centos7 + python3.6 + mariadb + redis + django + nginx + vue + git 便宜,免费 花钱的老企业,国企,外企 redhat + java + oracle + memcachd + tomcat + apache + svn 闭源收费的技术栈 红帽操作系统有…

转自:http://int32bit.me/2016/05/04/Linux%E5%B8%B8%E7%94%A8%E7%BD%91%E7%BB%9C%E5%B7%A5%E5%85%B7%E6%80%BB%E7%BB%93/ 目录 ping netstat lsof iftop nc tcpdump telnet ifconfig nslookup & dig whois route ip brctl  traceroute mtr ss python curl wget axel nethogs…

简介 最近在刷CTF题,主攻Web,兼职Misc Shiyanbar 0x01 简单的登陆题 简单概括: 考点: %00截断正则 CBC字节翻转攻击 难度: 难 WP:https://blog.csdn.net/include_heqile/article/details/79942993 解题过程: F12查看响应头,发现返回tips 访问test.php文件得到源代码: <?php define("SECRET_KEY", '***********'); define(&qu…

在 CTF Web 的基础题中,经常出现一类题型:在 HTTP 响应头获取了一段有效期很短的 key 值后,需要将经过处理后的 key 值快速 POST 给服务器,若 key 值还在有效期内,则服务器返回最终的 flag,否则继续提示"请再加快速度!!!" 如果还执着于手动地获取 key 值,复制下来对其进行处理,最后用相应的工具把 key 值 POST 给服务器,那么对不起,因为 key 值的有效期一般都在 1 秒左右,除非有单身一百年的手速,否则不要轻易尝试.显然,这类题不是通过纯…

ss 用来显示处于活动状态的套接字信息.ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容.但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效. 当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat /proc/net/tcp,执行速度都会很慢.可能你不会有切身的感受,但请相信我,当服务器维持的连接达到上万个的时候,使用netstat等于浪费 生命,而用ss才是节省时间. 天下武功唯快不…

思考: 我们知道mysql最好的数据存储量级是百万级别,是的往往在百万级别或者几十万级别就会出现慢查询(我对慢查询的定义是大于1秒),几年前我所在的一个做pos机支付的联机交易的核心系统组,当时就做过一次索引优化最终的总的交易时间缩短了300毫秒,约占总耗时的1/3.就在近期我所在的部门的一个非常重要的商品结构组(目标是像淘宝商品看齐的),频频爆出慢查询据说最慢的有5-6秒,总感觉太不应该,虽然最重要的接口都是缓存在redis,但是太多慢查询有可能会拖垮整个数据库,当缓存被穿透了也是要查db的给…

常用的Linux命令,备忘 1 pwd 显示当前目录 命令格式: pwd [选项] 2 cd 更换目录 命令格式: cd [目录名] 例: 3 ls 显示当前目录内容 命令格式: ls [选项] [目录名] 常用参数: -a, –all 列出目录下的所有文件,包括以 . 开头的隐含文件 -A 同-a,但不列出“.”(表示当前目录)和“..”(表示当前目录的父目录). -c  配合 -lt:根据 ctime 排序及显示 ctime (文件状态最后更改的时间)配合 -l:显示 ctime 但根据名称…

年初的两会上,第一次听到克强总理讲到“互联网+”的计划,当时就让我为之感到无比振奋.我个人的理解是:“互联网+”的本质就是要对传统行业供需双方的重构,通过移动互联技术来推动各个行业上的全民创新,促使中国经济再次腾飞.在整个创新的过程中,我们同时还应该清醒的认识到:“互联网+”是一次全新的业务创新,IT技术在这次创新中所应充当的仅仅是变革动力和技术手段,绝对不把它理解为创新的主体.无论要做互联网+餐饮.互联网+教育.还是互联网+医疗等等,我们都应该把核心资源投入到专注客户的刚需.缩短服务的层级.提…

ss是Socket Statistics​的缩写.顾名思义,ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容.但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效. 当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat /proc/net/tcp,执行速度都会很慢.可能你不会有切身的感受,但请相信我,当服务器维持的连接达到上万个的时候,使用netstat等于浪费 生命,而用ss才是节省时…

atitit 研发管理 要不要自己做引擎自己实现架构?.docx 1.1. 目前已经有很多引擎了,还要自己做吗??1 1.2. 答案是自己做更好,利大于弊1 2. 为什么要自己做??1 2.1. 从历史角度看,自研是广大人们的选择1 2.2. 公共的总是不比自己的好(别人的儿子当然没自己的好啊1 2.3. 有了美元欧元,为什么我们还要有自己的人民币的道理是一样的.2 2.4. 最大好处就可控性... 自主,控制性更好2 2.5. 从公司价值观来说,自研体现一种拼搏精神,很重要(就是为了引擎而引擎…

看到好的博文,所以记录一下.本文出自转载. ss是Socket Statistics的缩写.顾名思义,ss命令可以用来获取socket统计信息,它可以显示和netstat类似的内容.但ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效. 当服务器的socket连接数量变得非常大时,无论是使用netstat命令还是直接cat /proc/net/tcp,执行速度都会很慢.可能你不会有切身的感受,但请相信我,当服务器维持的连接达到上万个的时候,使用net…