分析ctfd动态web题插件CTFd-Whale CTFd-Whale 推荐部署实践 – glzjin (zhaoj.in) 一、前置知识 1、docker组网方式 Bridge 网络：Bridge 网络是 Docker 默认的网络类型，它在单个主机上创建一个网络桥接接口，允许容器在同一主机上相互通

贵州省第二届大学生网络安全大赛决赛wp

很多同学都想在比赛结束的时候把题目还原给别人做，或者把题目还原研究更多的解题方式。在杂项和密码学等可以直接使用题目即可，但是在pwd和web题的时候就没办法了。很多同学在web题就使用本地环境，但是没办法达到复用的效果。接下来我就演示一下如何使用ctfhub-team中的基础镜像来还原题目。

## 贵州省第一届大学生网络安全大赛wp #### 1、介绍 本次决赛使用的是Dawd模式，是奇安信公司开发的全新的一种对抗模式；没有防守时间（加固时间），开局即战；没办法访问自己的防守机，给了一台操作机，全部的操作都是通过操作机来进行；基本的流程为:找到漏洞，编写exp，上传操作机，在操作机中验证exp，在网页中提交exp，每轮回合结束后会由平台的NPC执行。加固流程：找到漏洞，使用shell命令或者脚本编写加固漏洞的脚本，上传操作机，在网页中点击提交ptach，交由NPC执行；每轮NPC会先执行你的ptach，判断服务有没有问题，由问题就扣掉相应的服务分；没有问题后待全部的服务拉起来后，会使用其他的队伍的exp运行，如果输出由flag的话，会扣掉相应的攻防分，对方增加相应的攻防分

题目：[ZJCTF 2019]NiZhuanSiWei 题目出处链接：GitHub - CTFTraining/zjctf_2019_final_web_nizhuansiwei 分析： if(isset($text)&&(file_get_contents($text,'r')==="welcom

# 基于皮卡丘靶场的学习——XSS ## 1、反射型xss(get) 尝试输入后发现有提示，还是无过滤的，那就直接写JavaScript弹窗试试

SSRF (Server-Side Request Forgery,服务器端请求伪造)是一种由攻击者构造请求，由服务端发起请求的安全漏洞。一般情况下，SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的，所以服务端能请求到与自身相连而与外网隔离的内部系统)。