内网渗透基础什么是内网？内网就是我们平常说的局域网（Local Area Network，LAN），是指在某一区域内由多台计算机互联成的计算机组。 也就是在固定的一个地理区域内由2台以上的电脑用网线和其他网络设备搭建而成的一个封闭的计算机组。它可以是邻居之间的2台电脑，也可以是一幢100层大楼里的1000台电脑。局域网可以是独立封闭运行的，也可以是和外网相连接的。 工作组有时候一个局域网中可能存在

Threat intelligence research and learningTang S, Mi X, Li Y , et al. Clues in Tweets: Twitter-Guided Discovery and Analysis of SMS Spam. ACM Conference on Computer and Communications Security. 2022. 主

Node.js原型链污染​ 一般审计原型链污染的思路可以从可以执行命令（或能达到目的）的危险函数入手，往上推，尝试找到可控的参数，来污染到危险函数，从而执行命令达到命令。或者，先找到可控的地方再去寻找能够污染的危险函数，来达到目的等。 引入可以在浏览器的控制台执行下面这行代码： 12345678910object1 = {"a":1, "b&q

Wireshark的使用不论是是ctf还是其他比赛的流量分析题目，或多或少都会用到Wireshark来做，因此这里简单记录一下Wireshark的使用方法，方便下次直接拿来用 过滤器表达式IP过滤 ip 123ip.addr = ip地址ip.addr = 192.168.116.138 只显示ip为192.168.116.138有关的数据流 源ip过滤 123ip.src == 源ip地

前言：最近在刷ctfshow的ssti的题目，但那些题目都是基于python flask的ssti，并没有其他类型的ssti，而自己对于ssti并没有深入的了解，干脆就借这个机会学习一下各种ssti。(∪｡∪)｡｡｡zzz SSTI简介SSTI 也称为服务器端模板注入（Server-Side Template Injection），服务端接受用户输入，将其作为 Web 应用模板的一部分，渲染编译后

写在前面:主要是攻防世界和ctfshow的题目，先刷刷攻防世界的题目吧，再去ctfhub按顺序和类型练一练 顺便记录一些工具的使用方法

ISCC羊了个羊ctrl+shift+i查看源代码，接着查看vue.global.js文件，发现一段密文 再base64解密两次得到flag Where_is_your_love依旧是ctrl+shift+i查看源码 发现3个PHP文件路径，访问Download.php和Enc.php分别下载下来两个文件 再访问LoveStory.php，是一道反序列化题 然后先对这两个文件分析，let

前言第一次了解到CTF是进入大学后，学校的学长介绍。而正式接触CTF则是在参加学校举办的ctf比赛的那一周，之后虽然断断续续地接触ctf，做了一些题，但都是拿到问题才去学习相关的知识和解题方法，始终没有去系统地学习。因此打算先从CTFhub开始，由易到难，打好基础。（有一些之前做过的题目就简单记录一下）

写在前面前几天被喊去参加了学院的学术沙龙，主题是关于区块链的，正好对区块链有点兴趣，说不定以后要尝试学习区块链安全的话也能有一点基础，这里正好记录一下会上对于区块链的简介（其实更多的是搬一下ppt的内容啦），总不能白开了2小时的会，然后啥也没学到吧哈哈哈哈

前言：因为最近在学习php反序列化，因此想试着去学习一下ThinkPHP的反序列化漏洞（有些版本存在漏洞）。自己之前从未接触过ThinkPHP，但知道ThinkPHP不同版本存在着许多反序列化漏洞，有些也被做成ctf题目，相关的文章网上也能搜到很多，因此我这个小白也打算看着网上的相关资料，来学习一下ThinkPHP的反序列化漏洞，希望借此能增进对ThinkPHP和反序列化的理解