1nnya

摘要： 个人只做了一道web一道crypto Web02 打开赛题环境地址，是登录界面，进去后获取hash值 用户名或密码随意 我们访问到的flag界面 ** **进去后这里有个输入框测试下可以进行xss 又根据/flag提示需要boss来访问这个路径，编写脚本构造payload进行访问，字符串编码下 im 阅读全文

摘要： 主要做web方向，misc和crypto有几题也看了一下 Web ez!http ez_md5 这里的<font style="background-color:rgb(249, 242, 244);">$_REQUEST</font>变量获得GET或POST的参数，值的注意的是，如果通过不同的方式 阅读全文

摘要： Web 驴友小镇 访问shuyulaoshi.txt得到提示 f12得到flag 石能为鼓 f12可以看到提示 访问可以发现是一道简单的反序列化 <?php show_source(__FILE__); class ping { public $xiang; } class cup { public 阅读全文

摘要： 0x01反序列化原理 与php反序列化类似，在java语言中，在Java对象进行序列化时会执行writeObject方法，而在反序列化过程中执行readObject方法 所以为什么会产生安全问题？ 只要服务端反序列化数据，客户端传递类的readObject中代码会自动执行，给予攻击者在服务器上运行代 阅读全文

摘要： 之前hgame中遇到python反序列化，这次正好借分享会来尽可能详细学习一下python反序列化 基础知识 什么是序列化？反序列化？ 在很多时候为了方便对象传输，我们往往会把一些内容转化成更方便存储、传输的形式。 我们把“对象 -> 字符串”的翻译过程称为“序列化”；相应地，把“字符串 -> 对象 阅读全文

摘要： 概念 java是面向对象的编程语言，对象，是一种具体的概念 类：类是对具有相同特征或属性，具有相同行为能力的一类事物的描述或称呼 对象：对象是这一类事物带有属性值,具有具体行为的个体或实例 面向对象编程的语言 package test; //定义一个类 public class Phone { // 阅读全文