前言Node.js之前并未有太多了解，最近遇上了一些相关题目，发现原型链污染是其一个常考点，在学习后对其进行了简单总结，希望对正在学习的师傅有所帮助Node.js原型链污染首先强推这篇文章https://developer.mozilla.org/，读完后就会对原型链有个大致的了解，对后面学习非常有帮助。所以说什么是原型链污染呢？偏官方一点的解释如下在JavaScript中，每个对象都有一个原型，它是一个指向另一个对象的引用。当我们访问一个对象的属性时，如果该对象没有这个属性，JavaScript引擎会在它的原型对象中查找这个属性。这个过程会一直持续，直到找到该属性或者到达原型链的末尾。攻击者

前言Node.js之前并未有太多了解，最近遇上了一些相关题目，发现原型链污染是其一个常考点，在学习后对其进行了简单总结，希望对正在学习的师傅有所帮助Node.js原型链污染首先强推这篇文章https://developer.mozilla.org/，读完后就会对原型链有个大致的了解，对后面学习非常有帮助。所以说什么是原型链污染呢？偏官方一点的解释如下在JavaScript中，每个对象都有一个原型，它是一个指向另一个对象的引用。当我们访问一个对象的属性时，如果该对象没有这个属性，JavaScript引擎会在它的原型对象中查找这个属性。这个过程会一直持续，直到找到该属性或者到达原型链的末尾。攻击者

环境ubuntu20+pwndbg+patchelf+glibc-all-in-one为什么要用ubuntu不用kali，这里不做解释，总之就是自己在搭环境时出现了各种问题，但用ubuntu20不会出现，pwndbg，打pwn题必备，具体安装过程见gdb与peda、pwngdb、pwndbg组合安装与使用patchelf则可以实现动态更改二进制文件的glibc连接库版本，glibc-all-in-one，提供了glibc常见版本。patchelf--set-interpreter./glibc-all-in-one-master/libs/2.31-0ubuntu9.2_amd64/ld-2.

环境ubuntu20+pwndbg+patchelf+glibc-all-in-one为什么要用ubuntu不用kali，这里不做解释，总之就是自己在搭环境时出现了各种问题，但用ubuntu20不会出现，pwndbg，打pwn题必备，具体安装过程见gdb与peda、pwngdb、pwndbg组合安装与使用patchelf则可以实现动态更改二进制文件的glibc连接库版本，glibc-all-in-one，提供了glibc常见版本。patchelf--set-interpreter./glibc-all-in-one-master/libs/2.31-0ubuntu9.2_amd64/ld-2.

CTF（CaptureTheFlag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCONCTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。一、赛事介绍CTF是一种流行的信息安全竞赛形式，其英文名可直译为“夺得Flag”，也可意译为“夺旗赛”。其大致流程是，参赛团队之间

CTF（CaptureTheFlag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCONCTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。一、赛事介绍CTF是一种流行的信息安全竞赛形式，其英文名可直译为“夺得Flag”，也可意译为“夺旗赛”。其大致流程是，参赛团队之间

2022HNCTF-web[Week1]Interesting_http分析payload[Week1]2048分析payload[Week1]easy_html分析paylaod[Week1]Interesting_include分析payload[Week1]easy_upload分析payload[Week1]WhatisWeb分析payload[Week1]Challenge__rce--自增RCE分析payload[WEEK2]easy_include--包含日志分析payload[WEEK2]ez_ssrf分析payload[WEEK2]Canyource--无参数RCE分析pay

2022HNCTF-web[Week1]Interesting_http分析payload[Week1]2048分析payload[Week1]easy_html分析paylaod[Week1]Interesting_include分析payload[Week1]easy_upload分析payload[Week1]WhatisWeb分析payload[Week1]Challenge__rce--自增RCE分析payload[WEEK2]easy_include--包含日志分析payload[WEEK2]ez_ssrf分析payload[WEEK2]Canyource--无参数RCE分析pay

OllyDebug，简称OD，一种反汇编软件，动态追踪工具，将IDA与SoftICE结合起来的思想，Ring3级的调试器。OllyDebug的使用界面是可视化操作。OD有很多民间的版本，菜单栏和和工具栏的配置可能有所差别。比较好用的是吾爱破解和吾爱汇编的中文Ollydbg版本。深入学习OllyDBG的调试技巧可以看《加密与解密》一书真正的技术是练习得来的，工具本身的操作并没有多么神秘，常用核心操作很少，使用工具进行实战调试和积累各种正向工程的知识最重要OD的基本使用不需要有任何基础知识，但是进行调试分析需要有一定的汇编语言基础热闹中著一冷眼，便省去许多苦心思；冷落处存一热心，便得许多真趣味。 

OllyDebug，简称OD，一种反汇编软件，动态追踪工具，将IDA与SoftICE结合起来的思想，Ring3级的调试器。OllyDebug的使用界面是可视化操作。OD有很多民间的版本，菜单栏和和工具栏的配置可能有所差别。比较好用的是吾爱破解和吾爱汇编的中文Ollydbg版本。深入学习OllyDBG的调试技巧可以看《加密与解密》一书真正的技术是练习得来的，工具本身的操作并没有多么神秘，常用核心操作很少，使用工具进行实战调试和积累各种正向工程的知识最重要OD的基本使用不需要有任何基础知识，但是进行调试分析需要有一定的汇编语言基础热闹中著一冷眼，便省去许多苦心思；冷落处存一热心，便得许多真趣味。