周报

周报

2025

十一月

17~23

完成事项

  • 新生赛出题:ez_php(md5强碰撞+intval绕过+非法变量名传参+无参数rce)、Give me your name(无waf ssti

  • 终于解决了?ctf的比赛复现,留下了一个java反序列化+绕过的的题目没写(实在是看不懂)希望后面会进行完善解决吧

  • 想开始java代码审计,找的小项目感觉配置起来都很麻烦(java真是。。)而且java的基础真的很薄弱,我寻思要不要去学一下手搓一个java小项目巩固一下

  • ctfshow 代码审计模块web301 一个一眼定真的sql注入,用sql写马打的,这里还稍微解析了一下sql写马,顺便完善了一下之前写的sql注入知识点总结,后面再完善一下盲注和内联注入,基础还是不行啊

  • 因为有环境容器的ctf题单懒得招,我想到了一个好法子,就是直接在网上搜ctf web wp随便找别的题目看看思路,看看能不能学到新东西。有源码的话还能搞个docker自己测试一下

  • (发现谷歌的hackbar非常好用,里面有很多基础payload

  • 春秋云镜initial靶场攻克一个小时,主要是配置stowaway花了点时间。下个小时尽量拿下这个靶场

    stowaway配置与使用,proxifier破解版下载,整理了一下windows渗透镜像的常用工具)

下周待做事项

  • inital靶场解决
  • 极客大挑战如果结束了的话可以尝试复现了
  • ctfshow 代码审计板块
  • java该开始学习了
  • 内存取证相关(破环境)

24~30

完成事项

  • 振兴杯决赛,学生组第三。出了两道题目,三个人都功不可没(团队的力量啊)
  • ctfshow代码审计模块逐步推进中,感觉还是有点东西的
  • 老皮搞了个无限时间靶场会员,打了一会渗透,了解了一下windows远程桌面连接
  • initial没解决,信乎OA的poc打不出来,又浪费我一个沙砾,妈蛋。下次沙砾多攒点再打,浪费得很
  • 本来想出一道cve,结果被非了,后面改一下在week4再上一遍
  • 这周学的不是很多,因为要参加振兴杯决赛,准备了一点工控和渗透,下周又要开始护网了,学习的时间还是太少了

下周待做事项

  • 极客大挑战有wp了,准备复现
  • 护网赚钱,感觉能赚个2000
  • newstar也上平台了,week5可以准备复现一下
  • 毕竟有护网,所以能把上面两个复现完就满足了

十二月

1~7

完成事项

  • 三号开始护网,一号二号在搞老皮的那个渗透靶场,完成了msf反向代理。后面护网去了就没搞了,之后买个无限时间的靶场打打
  • 护网的时间过的还是很快的,但是学习的劲儿头就不是很浓,写极客复现的时候,总是发现复现payload会出错误,所以还是打算把代码审计给写完
  • 周日晚上听了lyj关于红队护网的一些知识,真的感觉收获良多。
  • 护网被打进来了得远程看我电脑,稍微搞了一下向日葵,了解了一下

下周待做事项

  • 小程序抓包配置
  • 春秋云镜沙砾要过期了,得赶紧搞一下
  • ctfshow代码审计可以解决了
  • 六级又要捐50

8~14

完成事项

  • 护网结束了,大家一起搓了一顿,真是觉得自己犹如井底之蛙。还是有太多事情没学了
  • ctfshow代码审计篇终于完结了,ctfshow接下来可以写一下常用姿势,不过也是为ctf服务的
  • 听学长的话,从github上找了一些面经,打算从问题中查漏补缺
  • 鹏城杯+六级,在同一天我服了。写的杂项,出了两道题,web都没怎么写
  • 护网有些累了,而且还要做数据库大作业。后面几天有点摆了
  • 决定渗透靶场放在寒假做,也能督促自己寒假的时候学习

下周待做事项

  • 春秋云镜
  • 面经整理学习
  • 小程序抓包配置(忘记配了)

15~21

完成事项

  • 春秋云镜initial完结、Tsclient写了flag01还是很有收获的,上线了一次CS也会用甜土豆了。
  • 因为想找复现博客上好用的JWT工具问了老皮,然后就搞了一下天狐渗透工具,真的好用啊,太方便了,比那个虚拟机好用不知道多少。
  • 开始复现极客大挑战了,目前复现完了week1实际复现下来感觉没那么难,还是挺简单的。
  • 极客大挑战复现到了一个EJS模板注入,稍微深入了解了一下,本来还打算出一道EJS和原型链污染的题目。但是测试的时候失败了,后面也没有继续搞
  • 把桌面整理了一下,下了个工具把任务栏放到左边了,挺有新鲜感的
  • 这周还搞了个数据库实验的期末,花了挺多时间
  • 有点小摆啊,不过也将近期末了,虽然只考一门

下周待做事项

  • 我发现不知道自己该干什么了的时候就可以看看周报的待做事项,拖了好多没做啊
  • java代码审计还是去审一下cc链吧
  • 面经又没整理了,还打算广投一下
  • 小程序抓包拖了有够久的
  • 下周春秋云镜好像没沙砾了,不过写完Tsclient应该够

22~28

完成事项

  • 忘记写周报了,这周就记得很水没干什么事情
  • 小小准备了一下c++的期末上机
  • 首先就是写完了Tsclient然后在研究``
  • 然后极客大挑战也写了几道题
  • 看了一些挖洞视频,关于登录框可能存在的漏洞进行了分析
  • 就没有然后了

下周待做事项

  • 继续推进Brute4Road
  • 小程序抓包
  • 感觉学java的话可以先写一个自己的java项目,打算搞一个
  • 极客大挑战可以推进

一月

29~4

完成事项

  • 写了一些Brute4Road
  • 就没了,有点小摆,跨年一直在外面玩,不过玩也是为了更好的学

下周待做事项

  • 同上

5~11

完成事项

  • Brute4Road靶场通关,有一些小问题还没有解决,一个是wpscanapi用起来报错,一个是爆破
  • 写了一些极客大挑战,学到了ssti新无回显的方式,还有一个fenjing通杀的方法,后续写一个新的ssti知识点总结
  • 复习了一下java链,后续打算直接跟进调试其他cc链
  • 寒假有在考虑要不要挖点edu,能挖到一点洞的话之后写在简历上也好看
  • 还是这周多是复习数据库,学的也不算多,马上买靶场了,后面学习的劲儿应该还挺足的

下周待做事项

  • 数据库考完就可以安心渗透了,白天打CyberStrikeLab渗透,晚上可以学学怎么挖edu或者学java。春秋云镜有沙砾的话可以晚上打打春秋云镜。还有ctf时不时可以去做两道题目
  • edu的话,感觉小程序抓包就很重要了,到时候在配置一下
  • 突然觉得大三上变胖了很多,想起来大一大二都有校园跑,现在之后得多锻炼锻炼

12~18

完成事项

  • CyberStrikeLab靶场打完lab5了打了五个,学到了蛮多
  • 春秋云镜打了Time这个靶场主要 是一个SID的利用,还有一个AS-REP-Roasting
  • 买了个漏洞挖掘的一些文档,打算有时间学一下
  • java又没怎么审计了,感觉学java是给ctf铺垫的,后续打ctf感觉会越来越少,不过有时间还是打一打

下周代做事项

  • 继续打lab,春秋云镜继续签到,沙砾快过期就打一下
  • edusrc开挖
  • 可以再丰富一下简历了

19~25

完成事项

  • 打完了lab9 AD-CS没有成功,直接跳过了,其他的就是lab8比较好,学到一些东西
  • 准备开始打Thunder
  • 天天给自己做饭,好吃
  • 准备写一个渗透知识点总结,总结一下目前获取到的知识,还有一些不了解的东西可以去学习一下
  • edusrc一直在拖,打算这段时间还是把重心放在渗透靶场里

下周待做事项

  • Thunder攻克,有时间在写点其他的靶场
  • 渗透知识点总结

二月

26~1

完成事项

  • 写了一个春秋云镜,比较简单,把之前cyber没打出来的AD-CS打出来了
  • cyber写了不少,把thunder写完了还写完了cake
  • 开始写tengsnake

下周待做

  • tengsnake写完、总结也多写点

2~8

完成事项

  • cyber快过期了,猛写一手,tengsnake写完、写了一点钻石、写了cert、写了lab14、lab15写了一半,还写了一个仿真的应急响应
  • 感觉渗透学习的差不多了,后续可以去挖点洞,学习一下

下周待做

  • 春秋云镜十号猛攻

9~22

完成事项

  • cyber靶场告一段落了,后续也写了一些东西。这一个月算是不错
  • 十号春秋云镜会员日又打了一个靶场MagicRelay,梦渝师傅出的五个春秋云镜视频也都打完了,其他的就需要自己去找博客打了
  • 两周没怎么学,过年一直吃吃喝喝

下周待做

  • 暂无

三月

23~1

完成事项

  • 写了简历,投给绿盟了,应该有实习的机会
  • 面试的时候,感觉自己实战挖洞经验还是明显不足,准备去搞搞edusrc

下周待做

comments powered by Disqus
© 2025 - 2026 liernian
使用 Hugo 构建
主题 StackJimmy 设计