c0ll4r

background没啥含金量，一次内部的练习赛，是个人赛，记录下来是觉得这个平台很有意思。2个半小时，一人运维6台机器，都是web机器，tql上来就直接打，压根没有fix阶段，我全程都在写attack脚本，所以压根没管fix，感觉师傅们都有点摆烂，所以还是我侥幸拿了第一 详情6台机器，有一台ssh上不去，应该是平台的问题。4台机子都是直接内置eval后门，d盾扫一下就出来了，还有一台也是内置后门，只不过做了点手段 //action.php<?phprequire_once("library/common.php");require_once("library/view.php");$page = filter($_POST['page']).'.php';$post_data = array();foreach ($_POST as $key => $value) { $post_data[$key] = $value;}if (file_exists($page)) ...

mysql基础数据库层面的增删改查 CREATE DATABASE test; //创建名为test的数据库DROP DATABASE test; //删除名为test的数据库CREATE table `admin`(`user` varchar(255) NULL,`pass` varchar(255) NULL); //创建admin表alter table test drop id; //删除test表中的id字段alter table test add column id int default 0 first; //在test表中添加id字段alter table test modify id int auto_increment primary key; //修改test表中id字段为自增主键alter table test rename to date; //将test表修改为data表Show databases; //查询所有数据库 数据层面的增删改查 insert into student(name,sex,yea ...

PHP中文件包含常见的函数include：找不到被包含的文件时只会产生警告，脚本将继续执行。include_once：和include()语句类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。require：找不到被包含的文件时会产生致命错误，并停止脚本。require_once：和require()语句类似，唯一区别是如果该文件中的代码已经被包含，则不会再次包含。 伪协议file:// — 访问本地文件系统http:// — 访问 HTTP(s) 网址ftp:// — 访问 FTP(s) URLsphp:// — 访问各个输入/输出流（I/O streams）zlib:// — 压缩流data:// — 数据（RFC 2397）glob:// — 查找匹配的文件路径模式phar:// — PHP 归档ssh2:// — 安全外壳协议 2rar:// — RARogg:// — 音频流expect:// — 处理交互式的流 php://filter我们使用php://filter/convert.base64-encod ...

SSRF(service side request forgery)服务端请求伪造，是由服务端发起的 file_get_contents()把一个文件当做字符串进行读取默认是没有回显的，需要echo输出来查看不支持PHP中的伪协议，可以读取一个url <?phpecho file_get_contents('http://www.baidu.com')?> file_get_contents是可以读取其他目录下的文件的，当输入他不能识别的协议时,他会把这个不能识别的协议当做一个目录，我们使用../即可实现路径穿越，读取文件 <?phpecho file_get_contents('a://undefind/../../../flag.txt');?> curl<?phpfunction curl($url){ $c=curl_init(); curl_setopt($c, CURLOPT_URL, $url); curl_exec($c); ...

什么是jwt?JWT（json web token），它并不是一个具体的技术实现，而更像是一种标准。JWT规定了数据传输的结构，一串完整的JWT由三段落组成，每个段落用英文句号连接（.）连接，他们分别是：Header、Payload、Signature，所以，常规的JWT内容格式是这样的：AAA.BBB.CCC并且，这一串内容会base64加密；也就是说base64解码就可以看到实际传输的内容。 常见的jwt加密算法HS256（HMAC with SHA-256）：使用单个密钥进行加密和解密。HS384（HMAC with SHA-384）：与 HS256 类似，但使用更安全的 SHA-384 哈希算法。HS512（HMAC with SHA-512）：与 HS256 类似，但使用更安全的 SHA-512 哈希算法。RS256（RSA Signature with SHA-256）：使用公钥和私钥进行加密和解密。RS384（RSA Signature with SHA-384）：与 RS256 类似，但使用更安全的 SHA-384 哈希算法。RS512（RSA Signature wi ...

background这一章我不写习题了，看了后面的习题，都是在完成需求，而不是从编程的本身出发。我不是为了卷开发，对我来这些东西没有太大的意义，逻辑层面的东西基本上交给ChatGPT就行了。于是这里开始通过章节的大纲来学习。 while循环和运算法这里提到的运算符“%”代表了求模(取余)++和–代表了递增和递减，以下demo很好的解释了 #include<stdio.h>int main(void){ int num=60; while (num>1) { printf("1"); num--; } return 0;} typedef为数据类型创建别名为数据类型创造别名 #include <stdio.h>typedef float MyInt; // 为 int 定义一个别名 MyIntint main() { MyInt x = 3.1415926; printf("x: %.7f\n&quo ...

background也没有啥新的东西，这一章都是格式化字符串 1#include <stdio.h>int main(void) { char fname[50]; // 声明字符数组来存储名字 char lname[50]; // 声明字符数组来存储姓氏 printf("请输入名和姓："); scanf("%s %s", fname, lname); // 使用 %s 格式接收字符串输入 printf("%s, %s", fname, lname); return 0;}/*使用char[]数组来接收变量*/ 2#include<stdio.h>int main(void){ char name[10]; int len; printf("请输入姓名："); scanf("%s",&name); len=strlen(name); print ...

background直接看题了，这章也还行，基本都能懂，学习了预处理定义常量 1#include <stdio.h>#include <float.h>#include <limits.h>int main(void){ int big_int = 2147483647; float big_float = 3.4e38; float small_float = 10.0 / 3; printf("the big int data is %d\n", big_int + 1); printf("the big float data is %f\n", big_float * 10); printf("the big float data is %f\n", small_float); printf("the MAX float data is %f\n", FLT_MAX); printf("the MA ...

background学一点点c语言，然后学学javaweb，Pythonweb的东西。编程弄久了本来枯燥，然后就想干啥干啥吧。编程累了就学学rt，rt没意思了就来看看编程。b站找了个视频，我感觉适合真正的0基础计算机小白来看，我好歹也是摸过代码写过脚本的，那进度我受不了。于是就找了电子版的书看，反正视频也是基于书讲的，书看不明白就去看看他视频的讲解。这样下来学习效率应该会快很多。看到书第二章，发现有习题，于是就做了做，蛮简单的。希望编程学习之路都那么简单吧，哈哈哈~简单记录下我手搓的代码。 1#include <stdio.h>int main(void) { printf("w3l kin\n"); printf("w3l\nkin\n"); printf("w3l "); printf("kin"); return 0;}/*此题考点就在输出语句，和换行符的应用*/ 2#include <stdio.h>int main(voi ...

background想着好玩，就写了个hvv工资实时统计的脚本，可以实时看到收入，可视化的感觉还是很不错的。于是就写了脚本，一开始仅仅是程序运行之后从0开始计数，每过一秒钟工资就增长一部分。后来我朋友说这逻辑不行。得自动算出累计的时间。我一听，好想法。于是乎就开始研究了。当然我全程啥也没做，全部交给GPT了，需要注意的就是这个工作时间，GPT错了很久才纠正过来。工作时间是不能按照24小时来计算的，并且还要考虑跨天的问题。 最终解决了问题，有炫酷的页面 from datetime import datetime, timedelta, timeimport tkinter as tkimport randomdef calculate_working_hours(start_datetime, end_datetime, work_start_time, work_end_time): total_duration = timedelta() current_datetime = start_datetime while current_datetime < ...