PHP
CTFShow Web 入门命令执行 29-124 通关详解
CTFShow Web 命令执行漏洞从基础注入到高级绕过。涵盖参数逃逸、文件包含、无回显及无字母 RCE 技巧。涉及环境变量拼接、白名单函数利用及 UAF 内存溢出攻击。提供多道题目源码分析与 Payload 构造方法。
baireiraku发布于 2026/4/12更新于 2026/5/2311 浏览0 点赞约 27 分钟阅读
PHP
攻防世界 Web 实战:弱类型绕过与文件包含漏洞分析
综述由AI生成针对 Lottery 和 ics-05 两道题目,分别演示了 PHP 弱类型绕过验证及伪协议结合正则替换执行命令的利用过程。Lottery 题通过 == 比较符的特性,将布尔值传入数组实现全匹配;ics-05 题则利用文件包含配合 preg_replace 的 /e 修饰符,在满足特定 IP 条件下执行系统命令获取 flag。
字节跳动发布于 2026/4/11更新于 2026/5/2716 浏览0 点赞约 20 分钟阅读
PHP
Bugku Web 挑战:Shell 与成绩查询漏洞分析
该题考察 PHP assert 函数结合 explode 函数的绕过技巧。通过构造特定分隔符的字符串拼接出 assert 关键字,利用 GET 参数 s 执行任意代码。最终通过代码执行列出目录文件,读取 flaga15808abee46a1d5.txt 获取 Flag。
ServerBase发布于 2026/4/11更新于 2026/5/2318 浏览0 点赞约 3 分钟阅读
PHP
攻防世界 Web 漏洞题解:Lottery 与 ics-05
攻防世界 Web 漏洞题解涵盖 Lottery 与 ics-05 两题。Lottery 利用 PHP 弱类型比较漏洞,通过传入布尔值数组绕过数字比对获取奖金;ics-05 结合文件包含与 preg_replace 正则执行特性,在特定 IP 下构造参数实现命令执行读取 Flag。重点在于理解 PHP 类型转换机制及正则表达式修饰符的安全风险。
独立开发者发布于 2026/4/11更新于 2026/5/2515 浏览0 点赞约 14 分钟阅读
PHP算法
攻防世界 Web 挑战题解:反序列化、RCE 与文件包含实战
综述由AI生成本教程涵盖 WEB 2 加密解密、PHP 反序列化绕过、ThinkPHP RCE 及文件包含伪协议利用。重点解析了反序列化中的 wakeup 绕过技巧与正则过滤规避方法,以及框架漏洞下的命令执行 payload 构造。通过实际案例演示了从代码审计到获取 flag 的完整流程,适合 Web 安全初学者参考实战。
GitMaster发布于 2026/4/10更新于 2026/5/2612 浏览0 点赞约 16 分钟阅读
PHP算法
攻防世界 Web 题解:Lottery 与 ics-05 漏洞分析
攻防世界 Web 安全挑战包含 Lottery 和 ics-05 两道题目。Lottery 利用 PHP 弱类型比较漏洞,通过传入布尔值 true 绕过数字比对获取奖金。ics-05 结合文件包含与伪协议读取源码,利用 IP 白名单及 preg_replace 函数/e 修饰符特性执行系统命令获取 Flag。
ArchDesign发布于 2026/4/10更新于 2026/5/2513 浏览0 点赞约 20 分钟阅读
PHPAI大前端
Polar CTF Web 简单题型解题复盘
综述由AI生成Polar CTF Web 简单题型涵盖文件泄露、命令执行、JWT 伪造及上传绕过等常见漏洞。梳理了各题目的解题思路与关键 Payload,涵盖 PCRE 回溯攻击、变量覆盖、反序列化及前端交互技巧。通过实际案例演示如何结合 Burp Suite、在线工具及代码审计完成挑战,适合初学者巩固 Web 安全基础。
并发大师发布于 2026/4/10更新于 2026/5/2419 浏览0 点赞约 9 分钟阅读
PHP算法
CTFShow Web 命令执行 29-124 实战通关指南
综述由AI生成本文详细梳理了 CTFShow Web 命令执行 29 至 124 题的解题思路与 Payload 构造。内容覆盖基础注入、参数逃逸、文件包含、无参数及无字母 RCE、绕过无回显、字符集受限、黑盒过滤、目录限制、数据库读取、FFI 利用及白名单函数滥用等多种场景。重点讲解了如何根据过滤规则选择绕过方案,包括 Shell 变量替代、伪协议利用、位运算重组、UAF 内存破坏及数学函数构造等高级技巧,适合希望深入理解命令执行漏洞原理与防御绕过…
人间失格发布于 2026/4/10更新于 2026/5/2411 浏览0 点赞约 14 分钟阅读
PHP
Web 安全实战:PHP Assert 绕过与文件读取
针对一道 Web 安全挑战,通过分析服务端 PHP 代码发现 assert 函数被动态拼接绕过。利用 GET 参数注入系统命令,成功列出目录文件并读取 flag 内容。核心在于理解字符串分割与变量解析的执行流程。
GRACE Grace发布于 2026/4/9更新于 2026/5/2413 浏览0 点赞约 4 分钟阅读
PHPAI算法
青岑 Web 入门 CTF 靶场 Writeup
青岑 Web 入门 CTF 靶场包含基础题、PHP 漏洞、MD5 碰撞、命令执行、信息泄露及文件上传等挑战。解题方法涉及源码审计、抓包篡改、Payload 构造、正则绕过及伪协议利用。涵盖 JSON 解析、魔术哈希、数组绕过、变量覆盖等技术点,适合初学者练习 Web 安全基础知识。
宁静发布于 2026/4/9更新于 2026/5/2719 浏览0 点赞约 11 分钟阅读
PHPSaaSAI
DooTask 开源项目协作工具:部署与核心功能实战
DooTask 是基于 Laravel 构建的开源项目协作工具,集成任务管理、文档协作及即时通讯功能。内容涵盖 Docker 快速部署步骤、看板与日历视图使用技巧,以及 AI 助手在报告生成和消息聚合中的实际应用。适合中小团队进行敏捷开发与进度跟踪。
芝士奶盖发布于 2026/4/9更新于 2026/5/2819 浏览0 点赞约 12 分钟阅读
PHP算法
CTF Web 命令执行实战:从基础注入到高级绕过技巧
CTF Web 命令执行漏洞利用涉及多种绕过手段。涵盖基础注入、参数逃逸、文件包含配合伪协议、无参数及无字母 RCE、关键词模糊匹配、字符集受限环境下的编码绕过、黑盒过滤 POST 参数处理、open_basedir 限制突破以及环境变量拼接等高级技巧。通过实际 Payload 分析,展示如何结合 Shell 特性、PHP 函数白名单及系统底层机制获取权限。
时间旅人发布于 2026/4/9更新于 2026/5/2716 浏览0 点赞约 12 分钟阅读
PHP算法
CtfShow Web 入门题解:爆破与伪随机数利用
针对 CtfShow Web 入门系列第 21 至 28 题,主要涉及基础认证爆破、MD5 逻辑漏洞、伪随机数种子预测及逆向、AJAX 交互分析及目录扫描等常见考点。解题关键在于理解 PHP 随机函数机制、Base64 编码特性以及利用工具辅助逆向分析。通过编写脚本枚举或调整 Burp 配置,可有效解决大部分逻辑与加密类问题。
筑梦师发布于 2026/4/9更新于 2026/5/2313 浏览0 点赞约 6 分钟阅读
PHP算法
NewStar CTF 2025 Web Week3 题目解析
NewStar CTF 2025 Web 赛道第三周题目涉及多种常见漏洞类型。ez-chain 通过双重编码和 rot13 绕过 WAF 读取 flag;白帽小 K 的故事(2)利用字符盲注配合二分法脚本进行 SQL 注入;mygo!!! 结合文件扫描与 file 协议读取敏感文件;小 E 的秘密计划通过备份文件及.git 泄露获取凭证,利用.DS_Store 发现隐藏路径;mirror_gate 利用.htaccess 配置将 web…
小熊软糖发布于 2026/4/9更新于 2026/5/2515 浏览0 点赞约 23 分钟阅读
PHP
Web 技术核心与安全风险(三):PHP 基础与数据交互
PHP 作为 Web 后端常用语言,掌握其基础语法、面向对象编程及超全局变量处理至关重要。涵盖变量命名、流程控制、函数类定义、魔术方法以及序列化反序列化机制,重点解析表单数据获取与对象转换过程,为理解 Web 后端安全打下基础。
PgDevote发布于 2026/4/9更新于 2026/5/2317 浏览0 点赞约 5 分钟阅读
PHP大前端算法
攻防世界 Web 题解:SQL 注入与文件包含绕过实战
针对攻防世界两道 Web 题目进行解析。第一题 Supersqli 考察 SQL 注入,在 SELECT 关键字被过滤的情况下,利用 HANDLER 语句实现数据读取。第二题 Warmup 涉及文件包含漏洞,通过构造特定路径和 URL 解码绕过白名单检查获取 Flag。重点在于理解后端逻辑过滤机制及寻找替代语法或路径遍历技巧。
清酒独酌发布于 2026/4/9更新于 2026/5/2742 浏览0 点赞约 8 分钟阅读
PHP算法
攻防世界 Web 题解 (八): 加密解密、反序列化、RCE 及文件包含
综述由AI生成攻防世界 Web 安全挑战涉及加密解密逆向、PHP 反序列化漏洞利用、ThinkPHP RCE 漏洞利用及文件包含绕过技巧。通过代码审计分析 Payload 构造过程,演示了 ROT13、Base64 编码还原、魔术方法__wakeup 与正则过滤绕过、框架路由参数注入以及伪协议大小写混淆等核心解题思路,帮助理解常见 Web 漏洞原理与防御方法。
Qiny01发布于 2026/4/9更新于 2026/5/2311 浏览0 点赞约 18 分钟阅读
PHP大前端算法
CTFshow Web 入门:web12 至 web20 实战解析
综述由AI生成CTFshow Web 入门系列涵盖 web12 到 web20 题目,涉及状态码识别、目录扫描、信息收集、PHP 探针检测、备份文件泄露及加密解密等常见考点。通过实际解题过程,演示了如何使用 dirsearch、Burp Suite 等工具进行渗透测试,并结合源码分析、弱口令爆破及社会工程学手段获取 Flag。重点总结了信息搜集三件套的应用场景及各类漏洞的排查思路。
PentesterX发布于 2026/4/9更新于 2026/5/2515 浏览0 点赞约 13 分钟阅读
PHP算法
Polar CTF Web 简单题目解题思路总结
Polar CTF Web 简单题目涉及多种漏洞类型,包括文件泄露、代码执行、反序列化、JWT 伪造及 XSS 等。解题过程涵盖目录扫描、PCRE 回溯绕过、正则过滤 bypass、Cookie 欺骗、Session 文件包含等技术手段。通过 Burp Suite 抓包、源码分析及工具辅助完成挑战,重点在于理解 PHP 特性与 Web 安全原理。
樱花落尽发布于 2026/4/9更新于 2026/5/2318 浏览0 点赞约 32 分钟阅读
PHP
SensioFrameworkExtraBundle 路由注解使用指南:从基础到高级
综述由AI生成SensioFrameworkExtraBundle 扩展了 Symfony FrameworkBundle,允许通过注解定义控制器路由。文章涵盖 @Route 注解的基础用法、参数配置如 path name defaults requirements methods,以及多路由定义和优先级处理。高级部分涉及路由加载器 AnnotatedRouteControllerLoader 原理及控制器作为服务集成。需注意版本 5.2 后 @Ro…
NodeJser发布于 2026/4/9更新于 2026/5/2617 浏览0 点赞约 7 分钟阅读