梦想这东西和经典一样,永远不会因为时间而褪色,反而更显珍惜

在准备省技能大赛的时候,老师又给推荐了一个新一代信息技术创新应用大赛的安全赛道的省赛,于是便和队员一起报名了比赛,初赛是线上赛,真可谓是一波三折,第一天晚上还没有进入比赛,主办方的服务器便因为并发太高宕机了,于是在等待了一个多小时之后终于……主办方决定延期😂第二天下午又一个紧急通知,决定晚上开赛,这次主办方终于把服务器问题解决了,开始了愉快的比赛,结果到最后半小时,主办方服务器又被D了(心疼主办方三秒钟😥),我们队伍也是顺利进入决赛,这次初赛碰到两道代码审计题还是挺有意思的决定记录一下

ctf

第三界山东网络技术大赛初赛在上周末进行了,让我在周末这一神圣又光荣的日子被迫离开了被窝,开始了做题的苦逼生活。

一共三道ctf题,一道web,一道杂项,一道apk逆向,不过很遗憾当时就做出一道web,做完比赛回顾的时候才发现其实这三道题都不算难题,只是思路没有想到(吐槽一下,CTF的思路越来越变态了,希望决赛不会有暴打出题人的冲动🙃)

CTF Writeup

Command Injection

Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。

dvwa靶场

DVWA简介

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块,分别是Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA(不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。

DVWA作为一个专门的测试靶场,具备从低级到高级三种等级,并提供源代码。初学者可以通过比较不同难度的代码,接触到PHP代码审计的内容,这里我是用靶机Metasploitable2内置的DVWA环境。

dvwa靶场

大家好我是北轨,本来想做一个硬核博主,奈何技术不过关,实力太欠缺,我决定痛定思痛于是……有了这个瞎搞系列。本期我们来聊一聊QQ机器人。

上两天他们拉我进了一个QQ群,名字叫做机器人聊天群,之前也见到过QQ机器人,很感兴趣于是趁现在有时间我研究了机器人,经过度娘的指点迷津发现到现在见到的qq机器人很大一部分是利用酷q实现的,我也跟 随大家的步伐选择酷Q(PS:其实我尝试过云游君的el-bot,但因为自身原因(我不会说自己太菜了经常报错)而选择了更简单的酷Q,但是我过几天还要研究el-bot,云游君大佬的东西是真香😍)

瞎搞系列