Don't abandon yourself

《Web 安全防线初探:开源 WAF 引擎 ModSecurity 核心解析》--(ai写的就是比我的好)
发表于 2026-05-11 | 更新于 2026-05-12 | waf绕过 | 作者: | 0条评论 | 阅读量:61
在 Web 安全的学习路线上,绕过 WAF(Web 应用防火墙)是每一个渗透测试人员和安全研究者都必须面对的课题。而在众多商业和开源 WAF 中,ModSecurity 无疑是“祖师爷”级别的存在。今天这篇笔记,就来系统梳理一下这段时间对 ModSecu...
阅读全文...
buu_web44(整个四月就到这里吧!)
发表于 2026-04-12 | 更新于 2026-05-09 | web | 作者: | 0条评论 | 阅读量:53
朴实无华的一道题吗?确实是^v^啥都看不到,目录扫描也是只有robots.txt你的robots我的robots~好像不一样~哈哈啥都看不到,题解是可以看到的,有一个fAke_flagggg.php显示找不到flag,也是没办法了,抓包发包相应包有提示:...
阅读全文...
buu_web42
发表于 2026-04-11 | 更新于 2026-05-09 | web | 作者: | 0条评论 | 阅读量:58
点开连接发现居然是乱码f12看看与源代码,也没有信息试试发包,看响应?依旧没有提示那可以看看是不是和前几题一样是源码泄露?试试/.git/config也是没有接下来目录扫描:看看有啥入口:得到:robots.txt访问看到:继续点进去啥也没有看题解,人家...
阅读全文...
这题不算(写一半没写了,比赛也结束了)
发表于 2026-04-10 | 更新于 2026-05-09 | web | 作者: | 0条评论 | 阅读量:65
这题主要是要知道又git源码泄露这回事,不然根本做不了甚至连提示都找不到,开始目录扫描,但是只是扫描到了index.php我自己根据提示,手动试了一下flag.php,发现可以访问,但是没有回显。所以目前就知道两个文件,index.php,flag.ph...
阅读全文...
buu_web32
发表于 2026-04-09 | 更新于 2026-04-09 | web | 作者: | 0条评论 | 阅读量:60
本题主要需要知道java的后端文件结构这里的登录框首先想到会不会有sql注入,但是试过各种闭合都没用,所以尝试找别的突破口查看网页源代码的时候看到有一个herf跳转的链接发现filename参数输入的东西会被打印出来,这里首先想到的是有啥语句可以直接把f...
阅读全文...
buu_web26
发表于 2026-04-08 | 更新于 2026-04-09 | web | 作者: | 0条评论 | 阅读量:60
今天做一题sql,也是学到了hhh,之前都没接过报错注入老样子,找闭合,很快就找到了是单引号闭合'接下来很多都被拦截了,也是手测了许多符号,下次不会了,结果如下:ORDER by 的by会被拦截,空格会被拦截,无视大小写,*被拦截,union也被拦截, ...
阅读全文...
buu_web22
发表于 2026-04-07 | 更新于 2026-04-07 | web | 作者: | 0条评论 | 阅读量:50
今天开始做web题目了,开始疯狂赤石了,也就一周,忍一忍就过去了看到一个文件上传点,结合这一题题目,可以知道这一题就是上传木马,拿shell随便上传一个正常一点的1.txt,结果不知道到上传成果没有再试试jpg,发现可以上传成功!并且还有上传之后的路径,...
阅读全文...
buu_reverse25
发表于 2026-04-06 | 更新于 2026-04-07 | reverse | 作者: | 0条评论 | 阅读量:50
这一题很难,用到了新知识,hash,感谢zc做题帮我速通32位,放ida看主要代码顺着逻辑读下去很好读懂:第一个输入到string,长度需要为6的整数,然后拼接一个字符串@DBApp,经过一个函数sub_40100A,string1就需要和 6E32D0...
阅读全文...
buu_reverse28
发表于 2026-04-05 | 更新于 2026-04-07 | reverse | 作者: | 0条评论 | 阅读量:47
直接放die32位,放ida看主要代码这里出意外了,反编译失败,难道说要我看汇编?不懂,问了ai感觉有道理,但是感觉有点麻烦,还是选择看题解题解说的是直接定位到报错的地方,然后点进去单独反汇编,再出来main函数就可以直接反汇编了。问ai得出来的原因:在...
阅读全文...
buu_reerse26
发表于 2026-04-04 | 更新于 2026-04-07 | reverse | 作者: | 0条评论 | 阅读量:48
这一题有点难度,依旧放die看到64位小端序,放ida64看主函数,输入存在v6首先会看if ( aGyURsywBFbLwya[j] != byte_414040[j] ) 只要不满足这个条件,就可以到达打印right,分支,所以aGyURsywBFb...
阅读全文...
buu_reverse21
发表于 2026-04-03 | 更新于 2026-04-03 | reverse | 作者: | 0条评论 | 阅读量:42
这题不算难,但是有一点坑放die里看看啥文件,懒得查壳了,看不到函数再去查壳吧64位elf文件,放ida64,看主要代码 解释一下(i & 1):i与1按位与运算,比如3 & 1 == (二进制)1 1 & 0 1 == 0 1 ...
阅读全文...
buu_reverse18
发表于 2026-04-02 | 更新于 2026-04-02 | | 作者: | 0条评论 | 阅读量:49
做一题,这题编码逻辑有坑,注意!32位,放ida,看定位到主要代码看看这段代码,输入ACTF{只是提示我们接下来输入的就是flag 后面把我们的输入进行加密,加密之后和硬编码字符串进行对比,正确就输出You are correct! 所以只需要把硬编码的...
阅读全文...
buu_reverse12
发表于 2026-04-01 | 更新于 2026-04-01 | reverse | 作者: | 0条评论 | 阅读量:49
这一题没啥难度,只要看得懂java就可以了题目说是java,所以直接放jadx直接看主要代码图片里面就是两个函数的代码,一个main函数,一个加密函数main函数的功能就是输入,再把输入的字符串放到加密函数 所以主要看加密函数: 上来就是new了一个列...
阅读全文...
buu_reverse10
发表于 2026-04-01 | 更新于 2026-04-01 | reverse | 作者: | 0条评论 | 阅读量:42
[1]今天这一题主要看静态代码的加密过程无壳64位elf,试试放到ubantu运行不行,那就看看静态代码就好了,放ida64主函数没什么,但是里面的dcry()函数比较特别,是加密函数这是decry函数的前半段,主要是说把密钥key和密文拼出来key1和...
阅读全文...
buu_reverse8
发表于 2026-04-01 | 更新于 2026-04-01 | reverse | 作者: | 0条评论 | 阅读量:39
这一题拿到的是一个.apk包,上一个还是mac的可执行文件QAQ首先先判断apk包是什么语言写的,好反编译apk本质就是压缩包,改后缀解压APK │ ▼ 检查根目录 │ ├─ classes.dex 很大 + 无特殊目录 │...
阅读全文...
avatar
Jeff0917
这个人很懒,但是打算30天不断更^V^
文章
42
标签
4
分类
6
个人网站
公告
欢迎来到我的小站!🎉

这里主要用来记录我的学习进度和一些生活碎片。
目前蓝桥杯结束了,这一届大变样,也是气到我断更那么久
原来四月遗憾不只是有谎言,既然如此,不妨继续向前看

"学无止境,保持热爱。"
最新文章
day-3
day-3
《Web 安全防线初探:开源 WAF 引擎 ModSecurity 核心解析》--(ai写的就是比我的好)
《Web 安全防线初探:开源 WAF 引擎 ModSecurity 核心解析》--(ai写的就是比我的好)
day-2(两公里跑步)
day-2(两公里跑步)
Flag就立在这里了——自律健身&减脂
Flag就立在这里了——自律健身&减脂
buu_web44(整个四月就到这里吧!)
buu_web44(整个四月就到这里吧!)
buu_web42
buu_web42
这题不算(写一半没写了,比赛也结束了)
这题不算(写一半没写了,比赛也结束了)
buu_web32
buu_web32
buu_web26
buu_web26
buu_web22
buu_web22
最新评论
牛OωO
Johan / 2026-03-13 10:59
厉害哦,大神 (ノ°ο°)ノ
yali / 2026-03-13 10:58
分类
标签
归档
网站资讯
文章数目 :
42
已运行时间 :
100 天
本站总字数 :
10.43 W
本站总访问量 :
1969
最后更新时间 :
1 个月前