摘要： 首先打开链接然后会发现 照常情况下进行分析 查看源码然后发现 在这一串文字后还有一个链接然后 发现链接被隐藏了然后我们将link 删除就会显示出来点开新的连接 然后会发现这个 （仔细一看好像是php中的代码审计）然后进行一步步分析 在PHP中 MD5是不能处理数组的，md5(数组)会返回null，所 阅读全文

摘要： 首先看到的是 由于之前知道有bugku的百度吧 并且这个是一个社工题所以可以试一下这个百度吧 进入百度吧然后会见到 这句话的意思是要我们登录这个账号 但是我们只有账号没有密码 如果爆破的话很有可能爆破不开 所以我们再重新看一下 题目然后 我们看到了一个关键词“弱口令” 然后我们去百度弱口令top10 阅读全文

摘要： 首先进入网页会发现 直接用bp进行抓包然后会发现一个字母是Login这个是登录的意思发现这个字母等于0我们大胆的猜测一下这个字母等于0代表的是没有登陆而如果这个字母是1或者是2的时候就是登录了然后我们改一下 然后在右边直接显示出key 阅读全文

摘要： 首先打开链接然后会发现是 然后用bp进行抓包然后会发现 然后点一下网页中的链接然后会发现 会发现抓包抓到一个地址 然后提示改一下网页的后缀地址 然后就得到了 key 阅读全文

摘要： 题目描述： 题目描述： 上面的php进行格式化之后： <?php $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $po 阅读全文

摘要： 熟悉的登陆注册页面，结合结合题目admin的提示，想到是通过修改admin用户密码或伪造admin身份的方式来以admin账户。查看源码，看到了一个hint： 下载下来，是靶场的源码首先尝试抓包分析，抓取了修改密码的请求包，看到了一串session的密文 因为这里使用了flask框架，所以搜索了一下 阅读全文

摘要： 黑客榜中榜 过关游戏第一期 通关录 找到一个好玩的小东西，记录一下打怪通关的过程。 游戏地址： http://www.cn-hack.cn/qs/5.htm 第一关 查看网页源码，找到一段js： 1 2 3 4 5 6 7 8 9 10 function PassConfirm() { var x= 阅读全文

摘要： xff_referer [原理] X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer， 阅读全文

摘要： simple_js [原理] javascript的代码审计 [目地] 掌握简单的javascript函数 [环境] windows [工具] firefox [步骤] 1.打开页面，查看源代码，可以发现js代码，如图所示。 2.进行代码审计，发现不论输入什么都会跳到假密码，真密码位于 fromCh 阅读全文

摘要： 打开题目链接，提示我们查看cookie，cookie是HTTP协议中的一个重要参数，（对HTTP协议不是很熟悉的friends可以看看这个“HTTP协议其实就是这么简单”） 查看cookie的方法有很多，可以通过浏览器查看，不过建议直接查看HTTP报头，以加深对HTTP协议的理解。 此处使用Burp 阅读全文