目录WEB1.funny_web2.奇妙的MD53.where_am_i4.ez_ez_php5.webdog1__start6.Ez_upload7.numgame8.ez_ez_php(revenge)9.ez_rec10.1z_unserialize11.xff12.js_sign13.ez_ez_unserialize14.funny_phpPWN1.Doesyourncwork？2.IntegerOverflow3.有手就行的栈溢出REVERSE1.贪吃蛇2.babyre3.easyre4.xor5.upx6.base647.base64-28.android9.py110.py21

目录WEB1.funny_web2.奇妙的MD53.where_am_i4.ez_ez_php5.webdog1__start6.Ez_upload7.numgame8.ez_ez_php(revenge)9.ez_rec10.1z_unserialize11.xff12.js_sign13.ez_ez_unserialize14.funny_phpPWN1.Doesyourncwork？2.IntegerOverflow3.有手就行的栈溢出REVERSE1.贪吃蛇2.babyre3.easyre4.xor5.upx6.base647.base64-28.android9.py110.py21

简单理解：控制反转就是将代码的调用权（控制权）从调用方转移给被调用方（服务提供方）。解释一下：如果我们需要创建某个类，就需要程序员去修改代码，然后才可以得到想要的类。反转的意思就是不需要程序员去直接操作代码，而是通过服务方（Spring）让框架的机制帮助程序员获得想要的对象，而程序员只需要修改配置文件，不用关心对象是怎么创建的。举个例子：1publicclassUserServiceImplimplementsUserService{2privateUserDaouserDao=newUserDaoImpl();3@Override4publicvoidgetUser(){5userDao.g

简单理解：控制反转就是将代码的调用权（控制权）从调用方转移给被调用方（服务提供方）。解释一下：如果我们需要创建某个类，就需要程序员去修改代码，然后才可以得到想要的类。反转的意思就是不需要程序员去直接操作代码，而是通过服务方（Spring）让框架的机制帮助程序员获得想要的对象，而程序员只需要修改配置文件，不用关心对象是怎么创建的。举个例子：1publicclassUserServiceImplimplementsUserService{2privateUserDaouserDao=newUserDaoImpl();3@Override4publicvoidgetUser(){5userDao.g

1、IoC创建对象的方式使用无参构造创建对象假如要使用有参构造创建：下标赋值constructor-argpublicUser(Stringname){ System.out.println("User的有参构造！"); this.name=name; }通过类型type="java.lang.String"通过参数名name="name"value="reliable"总结：在配置文件加载的时候，Spring容器中管理的对象就已经初始化成功了！2、Spring的配置2.1、别名2.2、Bean的配置-->-->-->-->-->2.3、import一般用于团队开发使用，可以将多个配置文件

1、IoC创建对象的方式使用无参构造创建对象假如要使用有参构造创建：下标赋值constructor-argpublicUser(Stringname){ System.out.println("User的有参构造！"); this.name=name; }通过类型type="java.lang.String"通过参数名name="name"value="reliable"总结：在配置文件加载的时候，Spring容器中管理的对象就已经初始化成功了！2、Spring的配置2.1、别名2.2、Bean的配置-->-->-->-->-->2.3、import一般用于团队开发使用，可以将多个配置文件

概述题目来源：buuctf平台举行的vnctf。这次VNCTF还是很好玩的，特别是BabyGo（我也只看了web和misc方式的题），刚好也是在最后的30分钟出了，要不然哭死。6点之前已经有思路要覆盖user.gob文件了，但是一直覆盖不到，后面再认认真真检查了好几遍才发现path理解错了。拿到这题源码时一直在发呆，一点激情都没有。发现自己打这种比赛永远抢不了一血，一是因为知识储配不过，题刷的不够多；二是因为拿到不熟悉的题就容易发呆。幸好今天还够幸运，解出了花费很长时间的题，要不然又是自闭的一天QAQ。因为能力当前就处于“这样”的阶段，所以做出的BabyGo我给了非常详细的解题过程。Web象棋

概述题目来源：buuctf平台举行的vnctf。这次VNCTF还是很好玩的，特别是BabyGo（我也只看了web和misc方式的题），刚好也是在最后的30分钟出了，要不然哭死。6点之前已经有思路要覆盖user.gob文件了，但是一直覆盖不到，后面再认认真真检查了好几遍才发现path理解错了。拿到这题源码时一直在发呆，一点激情都没有。发现自己打这种比赛永远抢不了一血，一是因为知识储配不过，题刷的不够多；二是因为拿到不熟悉的题就容易发呆。幸好今天还够幸运，解出了花费很长时间的题，要不然又是自闭的一天QAQ。因为能力当前就处于“这样”的阶段，所以做出的BabyGo我给了非常详细的解题过程。Web象棋

前言在线靶场：点击此处即可到达靶场地址-->>>iwebsec2.本地搭建：使用官方所介绍的方法点击跳转官网iwebsec官网（1）dockerhub下载，命令dockerpulliwebsec/iwebsec（2）VMware虚拟机环境下载地址链接:https://pan.baidu.com/s/1ChCilzFPSedlA_Hv4NMkPA?pwd=0aib提取码:0aibiwebsec靶场配套书籍《Web安全原理分析与实践》这里更加推荐使用本地环境。sql注入漏洞SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾

前言在线靶场：点击此处即可到达靶场地址-->>>iwebsec2.本地搭建：使用官方所介绍的方法点击跳转官网iwebsec官网（1）dockerhub下载，命令dockerpulliwebsec/iwebsec（2）VMware虚拟机环境下载地址链接:https://pan.baidu.com/s/1ChCilzFPSedlA_Hv4NMkPA?pwd=0aib提取码:0aibiwebsec靶场配套书籍《Web安全原理分析与实践》这里更加推荐使用本地环境。sql注入漏洞SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾