NJUPT_CTF_2019_Web_Writeup

前言

去年刚开始打 CTF 的时候,打的第一个就是南邮的比赛 = = 签到签了一天。一个晨跑打卡题 SQL 注入,空格的绕过,也没做出来。当时打完直接自闭。到了今年, Web 就一道题 flask_website 属于知识盲区,因为 flask 框架没学过。会存在什么安全隐患不清楚。其他题目思路上都没问题。

阅读全文

bluecms 1.6 审计入门

一直想好好学审计,以前多多少少看过一些,但都没有自己好好审计过一个 CMS ,也没有一个自己的审计流程和方法。之前一直拿一个最新版本的 CMS 来审计,企图审计出 0day ,但一直没收获。现在转变下思路,从已经有大量漏洞的老 CMS 开始,不去看别人的审计思路,看看自己能不能审计到这些历史漏洞。就从被认为是最简单的,最适合新手入门的 bluecms 1.6 开始。

阅读全文

docker初体验

前言

老师让搭个 sql 注入靶场,因为是靶场所以肯定不能直接架在服务器上。所以采用 docker 来进行部署。因为之前学习过一点 docker 。感觉不会有什么难度。但当我开始写 Dockerfile 之后我才发现,好难呀…

阅读全文

MSSQL注入备忘录

暂时记录下 SQLServer 2008R2 注入的一些要点,因为不版本有差异性,对于差异性的内容,以后再补充

阅读全文

Python 多线程编程小记

threading模块

python3 中对于多线程,提供了两个模块 _threadthreading 模块,其中 threading 是对 _thread 的封装。

实现多线程有两种方法,一是直接实例化一个 threading.Thread 对象,实例化时,传入需要执行的函数和参数。

二是自定义一个多线程类继承 threading.Thread 类,并重写其中的 run() 方法。因为当调用 start() 方法后子线程就是去执行 run() 方法。

阅读全文