摘要:
概述 wavsep 是一款基于java的简单web攻防靶场,利用最简单的jsp技术进行实现。 GitHub地址为 https://github.com/sectooladdict/wavsep。 部署后首页截图 部署 从git上下载包后,倒入eclipse中,修复jdk版本号即可。wavsep使用的 阅读全文
摘要:
概述 这是 WebGoat 的最后一部分,主要内容是 WebGoat中的Challenge,前面还有 1 和 2。 Challenge Admin lost password 本题目的服务端源代码。 @AssignmentPath("/challenge/1") public class Assig 阅读全文
摘要:
概述 解除CTF也有很多年了,但是真正的将网上的题目通关刷题还是没有过的,同时感觉水平下降的太厉害,这两个月准备把网上目前公开有的CTF环境全部刷一遍,同时收集题目做为素材,为后面的培训及靶场搭建做好准备。本文是2018年7月8日前所有密码类的题目通关Writeup。 Writeup 变异凯撒 普通 阅读全文
摘要:
Web题目系列4 上传绕过 题目链接 http://shiyanbar.com/ctf/1781 题目描述 bypass the upload 格式:flag{} 解题思路 随意上传文件,发现提示只能上传图片文件,上传图片后,看到发送包的内容为 推测最后保存文件的名称为dir + filename, 阅读全文
摘要:
Web题目系列3 让我进去 题目链接 http://shiyanbar.com/ctf/1848 题目描述 相信你一定能拿到想要的 Hint:你可能希望知道服务器端发生了什么。。 格式:CTF{} 解题思路 用burpsuite抓包后,发现cookie里有一个字段source=0,修改为1后获取源码 阅读全文
摘要:
Web题目系列2 登陆一下好吗?? 题目链接 http://shiyanbar.com/ctf/1942 题目描述 不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈! flag格式:ctf{xxxx} 解题思路 一个万能密码问题,多试试就可以了。 username: ''=' password: 阅读全文
摘要:
概述 解除CTF也有很多年了,但是真正的将网上的题目通关刷题还是没有过的,同时感觉水平下降的太厉害,这两个月准备把网上目前公开有的CTF环境全部刷一遍,同时收集题目做为素材,为后面的培训及靶场搭建做好准备。本文是2018年7月8日前所有Web类的题目通关Writeup。 Writeup 简单的登录题 阅读全文
摘要:
概述 由于上一篇文章 Web安全攻防靶场之WebGoat - 1 过长,这里分开写后面内容 使用 Cross-Site Scripting (XSS) 跨站脚本攻击,跨站脚本分为三类 1. Reflected XSS Injection 反射型xss 通过一个链接产生的xss叫做反射型xss,所有恶 阅读全文
摘要:
概述 WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie 阅读全文
摘要:
Google Hack技术 目前黑客利用Google Hack技术来进行入侵或资料收集的时候主要有以下几点: ①、在入侵之前,可以利用Google Hack技术进行信息收集,典型的有比如查找网站后台及网站的拓扑结构等等。 ②、当发现或者公布某个漏洞之后,利用Google Hack技术大量收集存在这个 阅读全文