前言

做ctfshow web262的一点前置知识补充

也是学习一下字符串逃逸的思路

Question

博主之前因为有编写脚本的需求于是需要Crypto库，于是直接pip install Crypto了

但是在import的时候输入完Crypto.后找不到对应模块了(如Util等)

报错提示是'Crypto.Util.number' not be resolved

前言

打不动，python，java框架是完全没头绪。。。

官方web wp

前言

官方wp

因为忙着打校赛以及期中考的原因导致这场比赛就摸了个签到就润了（

yysy海报真好看，很戳xp（杀软二刺螈.jpg

介绍

全称Netcat。它可以在不同的计算机之间建立TCP或UDP连接，进行数据传输和网络调试

前言

官方WP

CTF快速入门手册推荐，于是从这里开始刷题，也算是正式入门的开始

Flask SSTI（服务器端模板注入）

原理：

render_template渲染函数的问题

渲染函数在渲染的时候，往往对用户输入的变量不做渲染。

也就是说例如：{{}}在Jinja2中作为变量包裹标识符，Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{1+1}}会被解析成2。如此一来就可以实现如同sql注入一样的注入漏洞。

流程

获取基本类->获取基本类的子类->在子类中找到关于命令执行和文件读写的模块

判断SSTI类型

前言

没能进前十多少还是有点遗憾，不过也无所谓了（

这次校赛作为个人赛规模不大，也是趁此过了一下拿血的瘾（

个人感觉web，misc和部分crypto都是属于常规比赛难度的，难度还是有的，re确实是随手ak的程度，pwn的话要是会用相关环境估计也能多打几题

前言

NSS上[NISACTF 2022]sign-ezc++

博主的RE入门系列来到了第十期，这次是NISA2022的题，恰巧明天就是NISA2023校赛的日子，而且本篇博客也会和0xA扯上点关系

缘，妙不可言（

知识点

c++

命名空间

异或

前言

NSS上的[NISACTF 2022]string

知识点

linux上的c

随机数