Background最近一直在看一些前端的知识，故以自己的理解写一篇文章来记录，如文章中有什么错误的观点，欢迎师傅们来指正从源和同源策略开始说起源的理解我们可以通过一个网址来理解https://www.baidu.com:80 (web服务器默认都是80端口）https:// 协议baidu.com 主机名80端口这样一个由协议主机名端口组成的三元组我们将它称之为源根据源我们提出同源策略这么一个概念当两个页面协议端口主机名都相同时 我们说两个页面拥有相同的源同源策略只是一个模型不是标......

Background五一哈工大的新生赛，不要脸的蹭一波比赛看一看F12藏在http头里面easy sqladmin' # admin' --easy sql again简单看了一眼 没有判断username password为不为空 当username为不存在 不设密码的时候 NULL值的时候 传进去NULL===NULL 可以绕过where is flag考察linux基础知识 flag被删掉了可以考虑proc文件提示符/proc/self/fd/3表示当前使用的进程可以成功读取到......

BackgroundNPUCTF === "真（雾）萌新赛"Ezphp进入得到代码<?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; ......

Just escape打开 看见是一个代码执行提示一句真的是php吗 猜测可能是Node.js 因为题目出的太多了这里面用一个测试语句var err = new Error();err.stack;可以打印出栈上的错误发现是vm2 简单百度了下 因为自己不太懂Node.js 发现这个vm2是个非官方的模块，是一个替代品，到这里就不知道该怎么做了，这时候看wp发现一个链接https://github.com/patriksimek/vm2/issues/225发现上面爆了一个命令执行的......

Background学长大师傅拉我进来，本以为要看ccx师傅web pwn全ak 后来他没玩我是ak了web 中间划水去玩游戏了0.0 还准备了个团队的演讲，这个题目对新手还是比较友好的，自己拿到了第六p.s.(前五有螺蛳粉）index醒来就看见这道题了，莫名其妙拿了一血直接用curl访问 或者手动打上index.php 然后审查元素勇者打恶龙前端有限制直接修改勇者谎称打恶龙还是前端问题直接在控制台改 lever/power 或者是判断参数进行修改Catch meburp抓包修改在3......