转载自好兄弟 dr0n 的文章：php反序列化总结 常见的魔术方法 __construct()： 在创建对象时候初始化对象，一般用于对变量赋初值。 __destruct()： 和构造函数相反，当对象所在函数调用完毕后执行。 __call()： 当调用对象中不存在的方法会自动调用该方法。 __get()： 获取对象不存在的属性时执行此函数。 __set()： 设置对象不存在的属性时执行此函...

重温一下，联系赵总清除以往解题记录即可。 默认排序是解题数从高到低 buu多是比赛题，像xctf、ctfshow、nssctf、helloctf里面那种新手入门题不多 刷完后，就把之前的博文删了，没什么意义了 [极客大挑战 2019]EasySQL 万能密码：2' or 1=1 # [极客大挑战 2019]Havefun F12，?cat=dog [ACTF2020 新生赛]...

注意：XCTF貌似不维护了，容器是动态flag，但是答案没同步，所以提交一直错，暂时不刷了 闲来无事，注册一个新号，刷题练练手 题库的模式只影响排序 最新上题：新题在前 新手模式：简单的在前 引导模式：解题次数多的在前 困难模式：解题次数少的在前 那我肯定新手模式咯，由易到难舒服点 Training-WWW-Robots 读取robots.txt，提示fl0g...

横向进某系统拿到一个达梦数据库凭证，我的Navicat貌似没有连接达梦数据库的选项，也没有通过 jdbc 连接的选项。所以使用一个叫SQLark的工具，跟Navicat很像。 进了一个数据库，执行select * from v$version;发现是达梦数据库V8，国产数据库了解不多。用户是SYSDBA 某个库里面表太多了，三百多个表，表名很多都是USER结尾，但打开都是空的，但是看数据...

以前设置过Hexo的自动打开编辑器，改用Hugo后一直手动新建文章，手动打开Typora。很麻烦。 但是没找到Hugo的设置方式，我就在论坛里问了，jmooring 和 irkode 回复了我，这两位也是非常活跃于社区的开发者。 原提问链接：Can we configure the Markdown editor to automatically open this file when ...

之前的之江铸网有个车联网，没来得及参加，也没流出附件和wp，这次通过狼组的附件做一下，当然还是通过wp学习 不过这个WP为什么都是常规CTF题的啊，iov只有附件没有wp 2025“招商铸盾”智能网联汽车攻防赛是由招商局检测车辆技术研究院有限公司主办的面向智能网联汽车领域的安全攻防活动。 MISC 日志审计-8-19 可能是让找哪个恶意IP登录了Admin吧，根据格式，搜索...

国庆期间断断续续读的。 开头放一份不知道从哪得到的思维导图，格式是MindManager的mmap格式，不过用Xmind导入也能打开： 汽车黑客大曝光知识点思维导图.mmap 第1章 理解威胁模型 没什么好说的，就是浏览了一下，增加了知识点。 看作者对车的攻击面做分类，然后再细分。 介绍了DREAD，CVSS体系。 第2章 总线协议 简单介绍了CAN总线，这里才了解到CAN总...

更新：我修复了画布两侧出现黑块和撕裂问题，官方还没有merge，我建议使用我的版本：https://github.com/TajangSec/ICSim，官方已 Merge 我的 PR，使用默认仓库即可 记录一下安装ICSim时候遇到的小问题，提供代码，以后安装Ubuntu也不用一个个字母手敲，主要因为vmware-tools也是未安装的，无法复制。 我在22年就做个ICSim的视频：【...

很幸运的拿到了榜一，队友太强了，AWDP玩的很少，不过这次break 和 fix都有成果。 Break 第一，Fix 第四 [web] easyUpload break F12检查图片，发现通过/show.php?file=img/1.png来读取 任意文件读取，flag被ban，读index.php源码 ```php {title=”easyUpload源码”} <?ph...

这个比赛名字怎么不统一？之前叫Automotive，是和Vicone合办的，现在叫Vehicle 之类，全称：Global Vehicle Cybersecurity Competition (VCC) 2025 这个赛事是8月22-25和8月29日-9月1日 2024的还没学完，做这个属实不太好，目前 ICV技能树一个都没点完。 今年分了红蓝队两种类型，做了那个签到才能解锁后续题目，...