摘要: 代码审计 给你shell 考点: 1.fuzz 2.爆破 3.取反绕过 解题过程: step1:在源代码上看到/?view.source和flag在flag.txt里面 访问/?view.source <?php //It's no need to use scanner. Of course if 阅读全文
posted @ 2024-07-29 17:02 鱿鱼1029 阅读(24) 评论(0) 推荐(0) 编辑
摘要: week5 信息收集 [强网杯 2019]高明的黑客 脚本 注意事项: 1.php 7+ 2.放在phpstudy->网站根目录 import os import requests import re import threading import time print('开始时间: ' + tim 阅读全文
posted @ 2024-07-24 09:12 鱿鱼1029 阅读(17) 评论(0) 推荐(0) 编辑
摘要: week4 XXE注入 [NCTF2019]Fake XML cookbook 考点: xxe漏洞 知识点: 漏洞原理: 发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起DOS攻击等危害。XXE漏洞触发的点往往是 阅读全文
posted @ 2024-07-13 20:06 鱿鱼1029 阅读(10) 评论(0) 推荐(0) 编辑
摘要: web_week3 java web [RoarCTF 2019]Easy Java 考点 Web.xml文件泄露: 漏洞描述: Web.xml是Java Web应用的配置文件,位于WEB-INF目录下,通常不应被直接从Web访问到。如果Web服务器配置不当,允许直接通过URL访问WEB-INF/w 阅读全文
posted @ 2024-06-13 21:33 鱿鱼1029 阅读(6) 评论(1) 推荐(0) 编辑
摘要: week2 flask session欺骗 [HCTF 2018]admin 考点: 1.flask session欺骗: 原理:flask仅仅对数据进行了签名,签名的作用是防篡改,而无法防止被读取。而flask并没有提供加密操作,所以其session的全部内容都是可以在客户端读取的,这就可能造成一 阅读全文
posted @ 2024-06-04 15:51 鱿鱼1029 阅读(9) 评论(0) 推荐(0) 编辑
摘要: 还有许多不足还需要学习,希望能和各位师傅一起交流学习呀 vx:D11_baekH qq:2822361857 阅读全文
posted @ 2024-06-04 15:37 鱿鱼1029 阅读(7) 评论(0) 推荐(0) 编辑
摘要: week1 sql [极客大挑战 2019]BabySQL 考点 SQL注入双写绕过过滤 知识点 '--+'和'#' 都是作为注释的作用; --是sql里的注释+号是url里的空格 --要和语句后面的引号 用空格隔开才有用 解题过程 step1-测试回显位置: 先测试回显在用户名那里还是密码那里,测 阅读全文
posted @ 2024-06-04 15:28 鱿鱼1029 阅读(5) 评论(0) 推荐(0) 编辑