logo
publist
写文章

简介

该用户还未填写简介

擅长的技术栈

可提供的服务

暂无可提供的服务

PHP在线代码验证类CTF题深度解析:从入门题到通用解题范式

在CTF Web题型体系中,PHP在线代码验证题是最经典的入门题型,也是新手踏入Web安全领域的第一道基础关卡。这类题目门槛极低、核心逻辑清晰,完整复刻了Web安全中「用户输入-服务器校验-结果反馈」的核心流程。很多新手刷题时容易因细节失误导致解题失败,看似简单的代码输出题,暗藏着Web校验的基础规则。本文将以河北政法CTF经典真题为案例,从零拆解题目逻辑、手把手演示解题步骤、深度剖析核心考点,同

#php#开发语言
【CTF Web安全】PHP正则过滤 SQL注入双写绕过保姆级实战复现

在CTF Web安全题型中,关键词正则过滤绕过SQL注入是仅次于基础联合注入的高频考点。题目会通过PHP正则函数拦截unionselect等核心注入关键词,封禁常规注入Payload。很多新手遇到过滤场景直接无从下手,本文将针对preg_match双层过滤环境,拆解大小写变形绕过+双写关键词绕过组合技巧,手把手完成从漏洞探测到获取Flag的全过程复现。防护函数与规则绕过方式核心原理preg_mat

#web安全#php#sql
CTF Writeup|文件包含漏洞进阶:php://input 伪协议实战利用

本题是一道经典的PHP本地文件包含(LFI)进阶题型,也是CTF高频考点。题目做了严格参数过滤,仅允许参数以开头,常规的phar://、本地路径包含等利用方式全部失效,只能通过php://input 伪协议 + POST请求体传参的方式实现PHP代码执行、读取Flag。本题是典型的限制性文件包含高阶题型,核心考点就是伪协议的特性利用。在各类常规伪协议被过滤的场景下,该协议是突破文件包含限制、实现代

#php#android#开发语言
CTF实战精讲:Phar反序列化+文件上传+文件包含 组合漏洞利用

本次复现的是CTF中经典的Phar反序列化+文件上传+文件包含组合漏洞场景,也是各大赛事、靶场的高频题型。整个漏洞链路依托三个核心漏洞相互配合,突破服务器防护,最终实现代码执行、读取Flag。靶场核心功能与漏洞前置条件:存在图片上传功能:服务器仅校验后缀名/文件头,允许gif等图片格式上传,无严格内容校验;存在文件包含漏洞:页面存在file参数文件包含点,支持伪协议解析;存在Phar反序列化触发条

#android
从 CTF 赛事实战吃透 HTTP 响应头:原理、考点与攻防案例详解

这道题告诉我们:HTTP 请求头完全可控,服务器不能盲目信任请求头。CTF 里 80% 的简单 Web 题,都在考这个思路。HTTP 请求头是浏览器发给服务器的身份信息,可任意修改。CTF 入门题 90% 都在考请求头伪造。。浏览器做不到的修改 →Burp Suite 一把梭。服务器信任请求头 = 安全漏洞 = CTF 送分题。HTTP 请求头是 Web 安全的第一课,也是最重要的一课。只要搞懂它

#http#网络协议#网络
PHP在线代码验证类CTF题深度解析:从入门题到通用解题范式

在CTF Web题型体系中,PHP在线代码验证题是最经典的入门题型,也是新手踏入Web安全领域的第一道基础关卡。这类题目门槛极低、核心逻辑清晰,完整复刻了Web安全中「用户输入-服务器校验-结果反馈」的核心流程。很多新手刷题时容易因细节失误导致解题失败,看似简单的代码输出题,暗藏着Web校验的基础规则。本文将以河北政法CTF经典真题为案例,从零拆解题目逻辑、手把手演示解题步骤、深度剖析核心考点,同

#php#开发语言
到底了