Loading

08 2020 档案

摘要:###[BJDCTF 2nd]fake google(SSTI) 查看页面源代码 输入null,提示是SSTI,简单验证下,这里过滤了+号。 存在eval函数。 payload: http://cb7d998a-510b-4021-8bf8-28b0ac306920.node3.buuoj.cn/q 阅读全文
posted @ 2020-08-24 23:12 Hel10 阅读(208) 评论(0) 推荐(0) 编辑
摘要:###分析 先看源码 // composer require "twig/twig" require 'vendor/autoload.php'; class Template { private $twig; public function __construct() { $indexTempla 阅读全文
posted @ 2020-08-18 21:58 Hel10 阅读(264) 评论(0) 推荐(0) 编辑
摘要:###工具 hydra、crunch、dirbuster ###涉及到的点 Port knocking(端口试探) Brainfuck编码 ftp爆破 ssh爆破 openssl enc加密 命令执行漏洞 Linux awk 命令 ###渗透过程 靶机地址192.168.1.10。开放的端口21、2 阅读全文
posted @ 2020-08-09 23:45 Hel10 阅读(306) 评论(0) 推荐(1) 编辑
摘要:###函数缺陷原理分析 先看一段简单的源代码 class Challenge{ const UPLOAD_DIRECTORY = './solutions/'; private $file; private $whitelist; public function __construct($file) 阅读全文
posted @ 2020-08-02 15:42 Hel10 阅读(172) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示