二次注入

学到一个新姿势叫二次注入意思大抵就是说又两个操作，先写入数据到数据库，然后再利用写入的数据进行数据库注入。我说不太清楚，这里引用一下大佬的博客二次注入可以理解为，攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到SQL查询语句所导致的注入。防御者可能在用户输入恶意数据时对其中的特殊字符进行了转义处理，但在恶意数据插入到数据库时被处理的数据又被还原并存储在数据库中，当Web程序调用存

2022-04-26

CTF

hexo搭建教程

hexo介绍一些官方的话就不说了，他其实就是个本地的软件，把你本地写的.md文件渲染成网页，也就是.html的形式，最后上传到服务器上。提到服务器就想到怎么白嫖，github和gitee都提供了pages这种服务，这个允许你把文件上传到他的仓库里面，然后给你渲染成网页。大致的搭建办法hexo这个软件是装在本地的。我们先来装hexo这个软件。安装nodejs因为hexo是基于nodejs写的，

2022-03-25

随笔

关于绊爱

绊爱宣布休眠其实有一段时间了，本来打算昨晚的last live不看的，但是最后还是忍不住去看了。说实在的，不伤心那是假的，高中那会半夜偷偷玩手机的时候喜欢看爱酱，满满的回忆啊，当时还因为分身企划的事情跑去推特对线a8，后面快高考了就一段时间没有关注，回来之后发现分身企划没了，23号做了新的皮，老爱回来了，当时还挺惊喜。现在想想，可能爱酱后来人气不行可能就有这时候的原因。伤心

2022-02-27

随笔

最近的一些计划

因为种种复杂原因，最近的事情搞的又多又乱。做一个小小的规划～优先级： 1.vue.js 2.golang 3.ctf 大概就是这样了，多线程当然是不好的，所以还是不要急于求成慢慢来吧。

2022-01-28

随笔

装双系统了

没啥别的，想打游戏了～～～

2022-01-27

随笔

manjaro下vmware报'No 3D support is available from the host'

在.vmware目录下的preferences文件中添加manjaro下vmware报'No 3D support is available from the host'即可记录一下～

2022-01-17

linux

BUUCTF2018-OnlineTool

今日心情不佳，整道ctf题 123456789101112131415161718<?phpif (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];&#

2022-01-13

CTF

GWCTF2019-我有一个数据库

题目到手是乱码，看了一下f12没啥东西 buu又不给用扫描器，遂无思路跑去看了一眼师傅们的wp，遂知道有个phpmyadmin 进去看看有版本信息这个版本的phpmyadmin存在文件包含漏洞(CVE-2018-12613) 就此机会先详细了解一下 1234567891011121314151617$target_blacklist = array ( 'im

2022-01-07

CTF

折腾了一下gnome

趁着重装系统，把新系统的桌面小小折腾了一下，因为不想太像mac，所以很多地方弄的比较奇怪，但是这两天用起来也是真的爽，尤其是这个主题，ui非常好看。主题用的是Colloid，然后图标用的是EPapirus，Gnome shell用的是WhiteSur-dark 不过shell的主题我稍微改了一下，因为想要一个圆角的shell，实在是找不到心宜的主题，就勉为其难用了这个仿ma

2022-01-06

linux

GXYCTF2019-BabyUpload

拿到手就是一个普通的文件上传，这里我刚开始做的时候传啥都会这样就很蒙蔽，根据经验，我直接先开个burp抓包看一下，发现content-type有点问题，小小改了一下。这里就是上传成功了，但是此时是txt文件，没法执行，这个时候传个.htaccess或者user.ini就行了尝试了一下，没有过滤，直接蚁剑连接upcu 得手这题挺简单的，就是个普通的文件上传。但是文件上传类

2022-01-06

CTF