前言

每次比完赛之后都说要开始学JAVA，结果都是下次一定。其实大学的时候接触过一段时间的java，但也只是停留在基本的一些语法和用法。工作之后花在安全上的时间越来越少。再此，专门开个贴，重新学习和认识JAVA。来陪我一起度过在区县交流的日子。那之前都是会有一个计划，比如一天学多少，看多少章节的书，看多少小时的视频。这次我想更没规律一点，用兴趣和精力来驱动。

前言

最近要备考PTS，记录一下，就当是笔记了。

前言

题目来源于ctfshow-web入门-大赛原题，写这一篇blog的初衷是练练手，有空就做做，保持手感。

myweb

题解

这道题目有点可惜，思路是对的，代码那一处少了;导致没执行成功，这里有报错是正常的，代码还是正常执行了的。

先是扫描了一下，发现user.json，给了账号密码，登上去就是一个上传的接口。然后还给了一个读文件的接口/show.php?file=xxx.jpg，到这里有两个思路:1.图片马 2.phar反序列化。图片马这里是打不通的，因为这里是file_get_content是读文件内容。而不是直接包含。

通过/show.php?file=show.php可以直接拿到show.php的源码。

前言

最近真的巨忙啊。。天天加班，没啥时间看题，只能利用每天赶公交车的时间看看思路。

nodejs篇，重新看一下。

前言

正如CTFshow的tip所说：

CTF比赛题目中常见的利用姿势 作为一个姿势字典，迅速检索，快速使用，用完即走，干净卫生 入选标准：

• 相对成熟，有利用脚本或利用工具
• 相对独立，非技巧性姿势
• 相对固定，无其他歧义或非预期解法

前言

反序列化是比较重要的一种漏洞类型。之前见过的一些反序列化题目也基本上都停留在少量代码上面。不管是绕过，还是反序列化链，还是phar反序列化、session反序列化。都是集中在少数代码。这次希望能从整个大框架的角度去学习反序列化。增大代码量。所以这部分文章是关于反序列化的刷题、复习和提升。

没时间现场打，线下看着网上的WP复现学习一下。

这次整个比赛没拿到奖，自己负主要责任。其实就差一道题了，web方向的sql注入没做出来。可惜的同时也感受到了自己的菜。还是要多练习啊。。。老本吃不了了。

但是比赛就是这样，你觉得自己差一道，可能人家也觉得自己差一道。所以硬实力才是最重要的。

复现一下：

把之前做过的一些sql注入的题重新做一遍，边做边记录边思考。