Acc1oFl4g

摘要： 序 今年是相当充实的一年，做了很多工作，主要还是网安学习方面。 我感觉今年，或者说上大学以来，可以说是我人生的一个很重要的关键点，接触了CTF，加入了网安社，利用点滴时间学习，参加了很多比赛。虽然跟师哥们相比还差了很多，但是我一直在进步。回头看看以前的自己，那是一幕幕奋力拼搏不轻易认输的身影，无论是 阅读全文

摘要： 漏洞简介 Pydash 是著名的 JavaScript 库 Lodash 的 Python 移植版。它提供了一系列工具函数来处理数据。 它的核心漏洞点在于 pydash.set_(a,b,c) 该函数允许用户通过字符串路径（Dot Notation，如A.B.C）来设置嵌套对象或字典的值。 在旧版本 阅读全文

摘要： 什么是反射 这里涉及静态类型和动态类型的定义。 动态类型语言 运行时才确定变量类型。 # Python - 动态类型 name = "张三" # name现在是字符串 name = 123 # ✓ 运行时可以变成整数 name = [1,2,3] # ✓ 运行时可以变成列表 静态类型语言 静态类型语 阅读全文

摘要： SpEL简介 SpEL是Spring 框架特有的表达式语言。如果输入的字符串被 expression.getValue() 执行了，就能 RCE。SpEL (Spring Expression Language) 注入是 Java Web 题最常见的考点之一，因为它逻辑清晰，利用方式很像 PHP 的 阅读全文

摘要： 源码层面详解Node.js反序列化漏洞原理与利用 阅读全文

摘要： 详解Flask3.x版本下两大类型内存马 阅读全文

摘要： 本文介绍了使用debugpy调试Python Flask应用的方法。首先安装debugpy库，然后在代码中导入并配置监听端口。通过修改launch.json文件设置调试配置，确保端口一致。调试时程序会暂停等待调试器连接，并可选择是否跟踪系统函数。相比xdebug，该方法配置简单，只需2-3步即可完成，适合调试存在SSTI漏洞的Flask应用。 阅读全文

摘要： 本文详细介绍了在VSCode中配置Xdebug进行PHP远程调试的完整流程。首先通过PHP版本确认和路径查找确定环境配置基础，然后通过手动或自动方法下载匹配的Xdebug扩展并进行正确安装。重点讲解了php.ini文件的关键配置项设置，包括端口、日志路径等参数。随后指导了VSCode端的PHP Debug扩展安装和launch.json配置文件的修改。最后介绍了浏览器Xdebug Helper插件的安装与配置。整个过程涵盖了从环境准备到调试工具链配置的完整步骤，并强调了配置细节中的注意事项，为PHP开发者提 阅读全文

摘要： GZCTF平台搭建 GZCTF是一个开源平台，我们可以去github上面下载平台源码 https://github.com/GZTimeWalker/GZCTF 然后官方也给了详细的搭建教程 https://gzctf.gzti.me/zh/guide/start/quick-start 这里我就记 阅读全文

摘要： <?php show_source('index.php'); class MGkk8 { public $a; public $b; public function rpl2() { echo('MGrp12;'); $b = $this->b; if ($this->a == "RPG") { 阅读全文