Windows 10 LTSC版安装

LTSC

这个LTSC。。。

又是巨硬改名部的杰作,以前叫叫叫啥啥,忘了

算了不管了,总之这玩意是个精简版的Windows10企业版,不包含UWP应用。对于我这种垃圾电脑跑虚拟机再合适不过了。

当然主要还是为了隔离的环境

Win10-LTSC

看图片是不是特别清爽2333

2018 SWPUCTF-Web WriteUp

前言

蜜汁啊,这个比赛为啥有这么多神仙

差一道题ak,最后Rank2感觉还行,澜洲学长他们还有二进制选手实在太强了

我太菜了只能水一道简单Web

BCTF2018-Web Checkin WriteUp

Checkin WP

毫无疑问,BCTF是我打的第二场极其自闭的比赛

第一个签到题死活做不出来,完全没有思路。直到最后一小时阿霖告诉我有思路了,然后去搭了一波环境结果不行。。。

确实当时最后有点急,现在静下来慢慢写确实写出来了。

顺便:Web是真的坑,简直无底洞一样,临时去学了一波Beego。。。

好在比赛结束后一小时58分钟拿到了flag。。。好歹算是迟到

NCTF2018-Web部分题WriteUp

NCTF2018

南邮的CTF比赛,Web题做起来感觉还行,比上次LCTF的舒服多了。总体难度还行吧,有些题有小坑。

最后拿了Rank5还算不错感觉。

深入SSTI-从NCTF2018两道Flask看bypass新姿势

简述

什么是SSTI

SSTI全称Server-Side-Template-Injection,即服务端模版注入攻击。

攻击成因是服务端模版引擎将用户的输入直接渲染进模版,而未做过滤或者对象关系映射(ORM)

这样,攻击者可以控制渲染进模版的内容。通过直接输入模版渲染的关键词例如{{ }},即可将恶意代码注入模版中执行。最严重的后果是getshell。

现在有很多常见的模版渲染引擎,而最常用也最长出问题的Web框架就是基于Python的Flask框架了。

具体SSTI的概念和成因分析此处不再赘述。