V0W's Blog

V0W's Blog

仰望01世界,徜徉赛博空间。

Docker 学习笔记
docker是什么?Docker是一个开源的引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署,包括VMs(虚拟机)、bare metal、OpenStack 集群和其他的基础应用平台。 docker能让我们信息安全爱好者方便的搭建各种环境,包括创建各种系统镜像容器、搭建各种漏洞靶场的实战环境。 它定义了从单个镜像解放到到容器铺设、容器铺设压缩到单个镜像的一套业内标准。 就好比我们的快递包裹来了,docker可以直接使我们从这一个包裹的打开到拼装成豪华的变形金刚模型全过程的快速完成,当然反过来打包成包...
区块链基础
前言DDCTF出过一道关于区块链的题目,并且近年来也是非常的火,但是一直没有用心研究过,之前表哥们开课了解到一些概念,最近又看了些书,算是有个大概的了解,于是写下这篇总结。 但是区块链和比特币博大精深,更多内容还需要更多的学习和研究。由于本人实在很菜,对区块链了解实在甚少,如果路过的大佬发现本文如果有所谬误,还请通过右侧的DaoVoice或者关于页面的联系方式联系我进行修改。 起源区块链的概念首次在2008年末由中本聪(Satoshi Nakamoto)发表在比特币论坛中的论文《Bitcoin: A Peer-to-Peer Electronic Cash System》提出。 论文中区...
第七届山东省大学生网络安全技能大赛——选拔赛WP
第七届山东省大学生网络安全技能大赛——选拔赛WP题目总体来说不是很难,但是时间紧,主要还有100道选择题,比较折磨人。WP写的晚,环境关了,有些题目忘记原来叫什么名字了==、 MISC流量包分析提示说找特殊的脚本文件 于是我尝试查找php和.py 分别用下面两条过滤语句 12http contains ".py"http contains ".php" 显然,这是一个在查看一个python脚本的内容,我们可以追踪http流看一下这个文件内容 12345l = [102, 108, 97, 103, 123, 54, 51, 55, 50, 51, 99, 57, 53, 53, 52,...
SQL语句备忘录
SQL语句备忘录1. 创建授权用户1.1 创建用户 命令 : CREATE USER 'username'@'host' IDENTIFIED BY 'password';说明:username - 你将创建的用户名, host - 指定该用户在哪个主机上可以登陆,如果是本地用户可用localhost, 如果想让该用户可以从任意远程主机登陆,可以使用通配符%. password - 该用户的登陆密码,密码可以为空,如果为空则该用户可以不需要密码登陆服务器. 例子: 12345CREATE USER 'dog'@'localhost...
flask+jinja2+mysql开发学习笔记
flask+jinja2+mysql开发学习笔记环境准备工作python虚拟环境介绍和安装 因为python的框架更新太快,有时候需要在一台电脑上存在多个框架版本,使用虚拟环境可以避免版本不兼容的问题。 命令pip install virtualenv 创建总的虚拟环境目录Virtualenv 创建一个flask虚拟环境目录virtualenv flask 激活虚拟环境: [windows]: 直接进入虚拟环境目录,执行命令activate [类Unix]:source [虚拟环境目录]/bin/activate 退出虚拟环境,进入全局环境:deactivate 虚拟环境中...
V0WShop项目文档
V0WShop项目文档前言一个基于falsk+jinja2+mysql(pymysql操作)的简单的电商系统。界面比较简陋,学习flask,做的一个简单的项目,大佬轻喷。但是这次的项目由于从开始学习到完成只用了四天,时间实在比较短,还有很多东西没有掌握,项目还有很多不足之处,在文章的后面,我也会总结一下,以便后期完善。 结构搭建前端 导航栏 base.html 登录(登录以后变成退出账户) 注册 首页 我的 (user.html)(用于记录历史以及余额等等) 登陆 login.html 注册 register.html 首页 index.html(由于各种因素,并由于往数据库放更多的...
i春秋巅峰极客赛第二轮WP
CTFWEBsqli简单的sql约束攻击注册账号admin,密码随意,然后登陆就得到flag了 flag{b5a1f9c5-ac30-4e88-b460-e90bcb65bd70} MISC关注公众号得到前半部分的flag。 flag{71d7ce04-197a-4d winhex打开,没发现什么,但是开头是PK这是word的性质————word相当于格式文件XML和内容的压缩包,可以利用这一性质,解压word.zip得到xml文件,在其中一个xml文件中发现另外一部分。 b3-9c1d-0c419406a594} 后来发现原来在这里: flag{71d7ce04-197a-4db3-9...
网鼎杯2018第一场WEB&Misc WP
网鼎杯2018第一场WEB&Misc WP深感CTF对WEB的恶意,WEB狗没有出路啊!!!一开始0 WEB 7 PWN,两个WEB最后才放出来,MISC的题目,脑洞又有点大,Crypto感觉无解,总之被锤爆==、 WEBfacebook解题思路注册登陆用户 发现可以点击,跳转到http://bae5d1e77d0948db94689fd87a2bc01880521f8e11c042b2.game.ichunqiu.com/view.php?no=1 简单判断是注入点之后检测过滤select,可以用/*!select*/绕过。 判断列数时,发现http://bae5d1e77d0...
XSS攻击手段&在CTF中的运用
XSS攻击手段&在CTF中的运用前文说完了XSS的原理,下面记录一下学习到的XSS的攻击手段和XSS在CTF中的运用。如有不当之处,缺漏之处,望师傅联系斧正。 初探XSS Payload前文谈到了XSS的几种分类。接下来,就从攻击的角度来体验一下xss的威力。XSS攻击成功后,攻击者能够对用户当前浏览的页面植入恶意脚本,通过恶意脚本,控制用户的浏览器。这些用以完成各种具体功能的恶意脚本,被称为XSS Payload. XSS Payload 实际上就是JavaScript脚本(还可以是Flash 或其他富客户端的脚本)所以任何JavaScript脚本能实现的功能,XSS Payl...
HackCon18 WP
HackCon18 WP这个CTF很tm坑,晚上11:30开,第二天早上11:30关,没做几个题,就关了==、还好环境没关,继续做了点,学了些。 Crypto 解密Caesar Saladq4ex{t1g_thq_p4rf4e}p0qr13d4rk{g1t_gud_c4es4r}c0de Salad Upgrades Sure, I could toss them all using just one shift. But am I gonna? CIPHERTEXT: e4uo{zo1b_1e_f0j4l10i}z0ce 12345678910111213141516#coding:...