什么是XXEXXE就是XML外部实体注入 XXE漏洞发生在应用程序解析XML输入时 如果网站没有禁止外部实体加载，则导致可加载恶意外部文件，任意文件读取 命令执行 探测内网端口等等 XML基础XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。 在我们利用XML实体注入时 一般pay ...

extract变量覆盖extract()该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。条件：若有EXTR_SKIP则不行。 1EXTR_SKIP - 如果有冲突，不覆盖已有的变量。 具体可以参考w3chttp://www.w3scho ...

如何把一个字符串的特征或规则告诉给计算机，让计算机知道你要描述的东西。被称为正则。

一个上传漏洞总结的很全的靶场

西湖论剑的题目 前些天没有做 今天西湖论剑的题目重新放了出来 可以复现了

故来做一下web题目 题目质量较高

第一次写ctf的wp 有些表达的可能不是很清楚

题目感觉质量很高 也很有趣哈 只写了部分web题目 pwn crypto不涉及 不要问我为什么 厂长是我表哥

第一次挖src 以前我很不自信 对于专属src想的都是 大厂的漏洞能有几个 就算有，好挖的也都被挖没了 不好挖的更是轮不到我这菜鸡。。

本篇基于注入天书的例子进行总结

前几天无聊看到学校群里的新生曾讨论过sql注入 突然想到自己对sql注入的理解也是比较浅的层面 所以才想总结一下 注入较杂 较乱 水平有限不足之处还望师傅们指点。

xss题目 一共20题 难度也在递增吧 写一部分自己的解题过程

后面题目厉害了 慢慢更新(太菜不会做)

题目 payload不唯一呦