抱歉,您的浏览器无法访问本站

本页面需要浏览器支持(启用)JavaScript


了解详情 >

byc_404's blog

Do not go gentle into that good night

第一次 XCTF 就自闭了。最难受的就是队友辛苦付出,自己却基本没啥输出……
之前公益赛还以为有了一定水准,现在看还差得远啊。
所以一定要一定要尽快把能力提升起来,刷题固然重要,知识点也不能落下。
这次比赛打下来发现自己居然只能在sql跟Node.js下手,太嘲讽了。
把近期一些需要彻底弄懂的知识点列一下,总有一天要全部解决。

PHP

php的一些trick

写shell;
命令执行;

bypass技巧

php反序列化

主要是pop链的构造。
简单的当然会。难的就容易拉胯。说白了就是自己审计能力差。
最好把trick都搞清楚。
然后再把下面的框架的pop链弄一弄

tp框架5.0 6.0

Laravel框架

python

python反序列化

这次反序列化吃了大亏。现学都好多看不进去。既然如此那就力求线下弄明白。
主要是底层的原理

Flask

框架问题。想做还是得会开发。

开发的

多线程什么的。
写脚本省时间。
py3跟py2一些脚本的差别

java

java反序列化

好歹自己有java基础。不接触下java漏洞太浪费那一点java知识了。

spel注入

javaweb

tomcat

javascript

xss csp

老早看过比较完整的却没总结。赶紧总结一波。

sqli

唯一比较自信的一项。
结果比赛第一题还是不会做。
万能密码也差点没弄出来。

之前总结的trick可能需要再细分一下。

其他的

vulhub在复现了,争取再多复现一些题目。

CSRF,CRLF,争取多找些题目做;

渗透学到的知识也是可以总结下的
WEB还有好多基础没打牢。找时间补一补。

屡败屡战才是一个CTFer的作风。现在既然选择这条路就加油干下去吧。

评论