SJTU-CTF / GEEKCTF 2024 部分 Writeup
去年还是选手,今年变成出题人了(
这次有幸给校赛暨 GEEKCTF 出了 4 道 Web 题:YAJF、Secrets、SafeBlog2、PicBed,赛后决定在博客上公开一下出题人的部分 Writeup 供参考。
不以物喜,不以己悲
去年还是选手,今年变成出题人了(
这次有幸给校赛暨 GEEKCTF 出了 4 道 Web 题:YAJF、Secrets、SafeBlog2、PicBed,赛后决定在博客上公开一下出题人的部分 Writeup 供参考。
最近需要给一个基于 Django 的项目开发实名认证功能,除了常规的核验姓名和身份证号是否匹配,还需要对用户进行活体检测。看了一圈最后选定了阿里云的金融级实人认证产品,可以直接让用户使用支付宝APP完成活体检测的认证过程,开发工作量相对较小,对用户而言也比较方便(毕竟这年头谁手机上还没个支付宝呢)。
开通金融级实人认证后,我开始照着阿里云提供的开发参考文档尝试将其接入到项目中。得益于阿里云这份含糊其辞、不清不楚的过时文档,开发花费的时间比我想象中要多😇,在此也记录一下我踩过的坑,希望能够帮助到后来者。
好久没更新博客了,周记已经咕咕咕好几个月了,等有空再写吧(
作为一个非计算机和信息安全专业学生、除了 Web 方向会一点其它啥都不会的小白,前段时间参加了我校举办的 CTF 网络安全技术挑战赛。给官方提交了 Writeup 后想着不能浪费这水文章的大好机会,就在博客上也发一遍吧。
一直以来我都使用 iPad 作为主要的写作工具,得益于 Working Copy + MWeb 的神仙组合,我可以在 iPad 上非常便捷地完成博客文章的写作、推送,然后交给 GitHub Actions 完成静态博客自动构建(没错,我把慢吞吞的 Travis CI 换掉了)。
MWeb 作为一款非常优秀的 iOS/macOS 端 MarkDown 编辑器,其内置了强大的图片上传功能(也就是俗称的“图床”),可对接许多知名图床平台的 API 以及各大云计算平台的对象存储服务,写文章时可快速插入图片,省去了手动上传的过程。
最近我吃饱了撑的把博客的图片全部从腾讯云 COS 迁移到了 GitHub,并使用 JsDelivr CDN 进行全球加速,然而从上图中可知 MWeb 并未提供 GitHub 的图床接口,这可咋办呢?经过一番摸索,我找到了这个我自认为还不错的解决方案。
📺 Render your Bilibili bangumi progress on a static web page
一个基于前端 + Serverless Function 的 Bilibili 追番进度展示页面。
GitHub:https://github.com/hans362/Bilibili-Bangumi-JS
(只有这段不是照搬 README.md 的(逃
大概是两年前写过一个名为 追番列表展示 API 的辣鸡 PHP 小程序,写得贼烂,然后功能没写完就烂尾了2333后来忘了在哪里说过要用 Javascript 重构一下,结果也不了了之
然而这次寒假我居然把它肝了出来!于是就有了这个 Bilibili-Bangumi-JS!(虽然依旧写得很烂但是比之前那破玩意儿强大多了)
这一切都要从一只蝙蝠说起…
最近看到了一个站,是某高中的在线英语人机对话练习平台,目测了一下网站应该是外包的,因为首页上还有客服的 QQ 和定制的联系方式…
像这种看上去粗制滥造的小网站肯定一挖一堆洞…果然1小时后搞定
声明:本文作者没有利用该漏洞做出任何恶意或违法行为,也未触及任何数据,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担
这段时间在开发追番列表展示API(人生中第一个PHP项目啊…),迫于没有系统地学习过PHP只是略知一二,在开发的过程中可以说是到处是坑,于是乎…在我努力地现学现卖的过程下,还是顺利地写完了这个程序
至于运行的效率以及代码质量么…不管了…(自信
那么针对踩过的坑就记录一下吧~(先说明一下 PHP 版本为7.1.26)
很久都没有写过这种文章了辣么就来水一篇吧
写在前面:本文介绍的工具建议仅用于安全性测试,使用请遵守国家规定,本博客不承担任何责任。
最近看到隔壁的@崇宫苟道的一篇文章《冻果果?00后网络团队?抄袭?(持续更新ing)》,看完真的是被吓到了…我暂且先不对冻果果的行为做任何评价,毕竟今天的主题是使用WPScan扫描WordPress博客安全性,既然这个冻果果团队自称很厉害,那么就免费帮他们做下测试吧~
首先感谢@崇宫苟道给出的信息,该站的首页是个基于WordPress的论坛(真的长见识了…WP也能做论坛)
那么就拿出WPScan扫一下吧~
(前方大量代码块来啦~为避免影响主页效果,文章已折叠,点击下方继续阅读)
2018.4.19更新:建议各位不要使用了,我的主机已经被黑了,疑似是通过自用的Shipyard攻入的,被恶意运行了挖坑程序,这种停止维护的项目还是尽量不要使用,使用的话请做好防火墙防护措施
最近我开始研究起Docker容器,发现竟然有这么好的东西~最让我喜欢的一点是每个容器之间都是隔离开来的,部署方便,资源利用充分,终于可以为所欲为了呢
然而每次开个容器命令都要敲个半天,懒癌发作,所以我想找一个Docker的WebUI管理器,最终发现了Shipyard
Shipyard是一个基于Web的Docker管理工具,支持多主机,可以把多个Docker主机上的容器统一管理,可以查看镜像,甚至构建镜像,并提供RESTful API等等
遗憾的是,当我写这篇文章的时候,这个项目的作者已经弃坑了,项目处于无人更新维护的状态,所以自己玩玩就好,切勿用于生产环境,以免造成严重后果