常用资源汇总
常用资源汇总由于本人脑子不好使,经常忘一些东西,故写篇文章汇总一些资源以便随时使用。 命令类GitfastbootADB 工具类Arjun sqlmap fenjing flask-session-cookie-manager [fastcoll](【小工具发现系列-2】fastcoll_v1.0.0.5.exe md5碰撞-CSDN博客)
XYCTF2025
Fate1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980import flaskimport sqlite3import requestsimpo
2026随记
有时候在一些题目碰到一些知识点想记下来,又不知道记什么地方合适,遂开一篇文章整理零碎的知识。 3月1.绕过读取文件的限制,./../相当于../,意义为先进入当前目录(其实就是留在原地),然后再退到上一级目录
初探Java
通过几个题目入门Java [网鼎杯 2020 朱雀组]Think Java题目给出了部分源码,先看Test.class 1234567891011121314import io.swagger.annotations.ApiOperation; //使用了swagger进行接口的测试@CrossOrigin@RestController //标识这是一个控制器,且返回值直接序列化为 JSON
nodejs原型链污染
java学不明白跑来学js了 :( 前置知识js中每个函数实际上都是一个Function对象,所以一个方法的原型就是一个方法对象 每个实例对象都有一个私有属性(_proto_)指向它的构造函数的原型对象(prototype)。当一个类实例化的时候,赋值的变量会继承prototype的所有内容,包括变量以及方法 那么我们不难总结出: 1.prototype是一个类的属性,当该类实例化时会继承pro
LilCTF2025
ez_bottle大致思路就是/upload路由上传一个zip文件,然后bottle模版会渲染里面的文件 那么好,第一个问题就是他没有上传文件的地方,需要自己发起post请求,zip文件该怎么传呢? 当然可以写一个脚本,这个最直接,不过这个题比较简单,写脚本浪费时间,更方便的是用Talend API Tester 那么payload如何构造?bottle的waf还是比较好绕的 12BLA
XXE漏洞入门
前置知识漏洞成因解析时未对XML外部实体加以限制,导致攻击者将恶意代码注入到XML中,导致服务器加载恶意的外部实体引发文件读取,SSRF,命令执行等危害操作 漏洞特征在HTTP的Request报文出现一下请求报文,即表明此时是采用XML进行数据传输,就可以测试是否存在XML漏洞。 1Content-type:text/xml application/xml DTD内部实体(无利用价值)12345
python原型链污染
前置知识危险函数123456789101112def merge(src, dst): # Recursive merge function for k, v in src.items(): if hasattr(dst, '__getitem__'): if dst.get(k) and type(v) == dict:
