前言

周末抽了一天时间打了一下MTCTF，感觉很多题目都是原题魔改的。没有java和nodejs，只能说PHP YYDS ，由于比赛之后没有环境复现了，这里就把交上去的wp，做一点细节上的拓展。（月更博主上线了,可以说是老鸽子了

前言

两个比赛正好连在一起了，抽了时间做了下。题目质量，感觉两个比赛web质量都不怎么样。很难再去达到D3CTF的那个水准了。就记一下流水账，有意思的点还是会提一下的，感觉更多地还是对一些知识的巩固吧。由于虎符先打的，所以虎符开始吧。

前言

RMI在低版本的时候存在恶意类加载，本次实践基于jdk7u21.之前看的时候也没有特别细致的调过，在学RMI的时候没有那么仔细，有些东西没有注意到,也感谢@木头师傅的提醒

前言

一杯(奶)茶，不抽烟，一道ctf做一天。

周末还是花了2天的时间，打了下ant^d3ctf。web题好像只有java和nodejs.(java太好玩了。

本文首发: 黑伞攻防实验室

前言

2021-1-12号，看到国外的师傅，挖了个laravel的命令执行，而且还用了两种方法， 感觉第一种方法姿势是真的妙，赶紧复现来学习一波。

Docker-compose

官方网站

https://docs.docker.com/compose/compose-file/

常用指令

1
2
3

docker-compose up -d
docker-compose down
docker-compose build

本文首发: 先知社区:https://xz.aliyun.com/t/8975

前言

在2020-11-23号，在twitter上看到有师傅发了,Zend Framework框架的一条反序列化链。之后也分析了下，找到了几条链子，之后跟了跟其他版本的，都是存在反序列化漏洞的。然后就出了两个题目，一个 最新版的 laminas 和一个ZendFramework 1 的链子。来写下文章抛砖引玉吧，应该还是有很多的链子的。

前言

这次巅峰极客上出现的一道题目，当时思路大错误，并且网络上的都是关于后端的一个洞，没看到很么关于前台的洞。所以当时也就没有做出来。线下和师傅们交流了下，复现了一波。