前言：因为最近在学习php反序列化，因此想试着去学习一下ThinkPHP的反序列化漏洞（有些版本存在漏洞）。自己之前从未接触过ThinkPHP，但知道ThinkPHP不同版本存在着许多反序列化漏洞，有些也被做成ctf题目，相关的文章网上也能搜到很多，因此我这个小白也打算看着网上的相关资料，来学习一下ThinkPHP的反序列化漏洞，希望借此能增进对ThinkPHP和反序列化的理解

PHP反序列化php序列化（serialize）：是将变量转换为可保存或传输的字符串的过程 php反序列化（unserialize）：就是在适当的时候把这个字符串再转化成原来的变量使用 通过序列化与反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。 魔术方法：12345678910111213141516

XSS 简介跨站脚本（Cross-Site Scripting，XSS）是一种经常出现在 WEB 应用程序中的计算机安全漏洞，是由于 WEB 应用程序对用户的输入过滤不足，导致精心构造的脚本输入后，在输到前端时被浏览器当作有效代码解析执行从而产生危害。。 工作原理：攻击者会在web页面(如html)中插入一些恶意的script代码。当用户浏览该页面的时候，那么嵌套在该页面的代码就会执行，因此会达到

前言:简单学习一下wakeup()绕过的知识（一些内容都是大佬总结的），自己只是通过看别人和学长写的文章来领悟wakeup()绕过的奥秘 参考资料：wakeup魔术方法绕过：php反序列化之绕过wakeup：苟学长的总结： php反序列化总结 引用了大佬的一些内容，希望他们不要介意，嘿嘿嘿 _wakeup()是在反序列化对象时被调用。当unserialize的时候，会检查时候存在wakeup()函

前言：记录一下自己自学python的过程，或显幼稚简单、并不完整，依需求而记，但本意是以此激励自己学习，以免半途而废，学无所成 方便下次忘记时快速查询

写在前面：Crtpto： 老师要求这两天只能写密码学的题，于是顺便记录一下攻防世界的密码学题目（新手模式），大都难度不大，主要是做一下有个印象，顺便记录相应的在线解码网站，方便下次直接使用。 pwn、re： 到了自己最不擅长的方向了，看着别人的writeup，尽量去学习吧 一些图片老师要求截全屏，可能会有点影响观看 Cryptobase64顾名思义，一个base加密的密文，解码就得到flag了

任务描述 学长们对上次黑我们服务器的黑客进行了反击，获取了目标服务器的镜像 ，看看你们能不能成功攻击这个服务器本次考核主要是考察CTF内容和简单渗透知识，需要同学们通过靶机暴露的信息找到漏洞，并最后得到目标靶机的root权限，并找到root下的flag。 1.信息收集确定靶机的ip地址靶机下载好后，在vm成功打开，它就自己给了我们ip地址，因此不需要向之前那样去对比确认靶机的ip地址 这里我们得

任务描述懒狗学长没做检查就把学弟学妹的项目放在了协会的网站上，没想到直接被不明黑客黑了！现场只留下了黑客的黑页： 要求通过OSINT获取目标的身份信息，包括：QQ、姓名、电话、身份证号、家庭住址 注：这次的目标是一个由学长创造出来的虚拟的人物，只需要使用开源网络情报搜索信息，不能使用社工库、账号反查、钓鱼等非法手段，也不要使用任何网络攻击手段。 QQ号的获取从图片上看出，目标自称是Da2kSup

PHP网盘源码放在github 使用首页要配置好php环境、装好Apache和Mysql服务并运行，然后使用提供的hey.sql文件建立数据库，之后就可以使用了 实现的功能实现了用户注册、用户登录、修改密码、个人文件上传、个人文件下载、个人文件删除、前端界面、网站及用户信息安全和文件夹功能等功能。 开发历程​ 一开始拿到考核的题目，发现要用php写一个网盘应用，心里还是打了退

前言：前几天闲着没事，想美化一下自己的博客，打算用Artitalk搭一个说说板块，按官方文档的教程搭好后发现一直都是那个下雨的加载画面，并无法正常加载，需要用“科学上网”才能成功加载。这里记录一下完整的搭建过程，如果你已经搭好了，只是和我一样遇上了跨域问题，那么请直接看最后一步就行了（这里是我个人遇到的问题，也可能每个人遇到的问题不同，或者没遇到这个问题）。