摘要:
北风卷地白草折,胡天八月即飞雪。今天温度可真低,脑子也清醒了不少,早上重新指定了计划后,紧张比较顺利。下面开始老黑的sqli-libs过关斩将的经历!! Less 7: 分析:看显示的内容,猜测应该将注入的内容导出到文件中 TRY: s1:测试闭合的条件,1' fail,1" fail,1') fa 阅读全文
摘要:
老黑在自己的虚拟中装了一个ubuntu14.04版本的镜像,然后只用了三条命令就将这款SQL注入的游戏安装好了,配张图晒一晒。 好了,浪费太多时间了,让我们赶紧开始吧!见证奇迹的时刻到了!!! less 1 s1: 基本方式 1' and '1' = '1,合成到sql便是,select * fro 阅读全文
摘要:
背景: 10月28日的一个早上,老黑一如往常地练习,我测试不破坏,当时我找到sqli-libs 游戏,可是我没有立即开始,于是,奇妙的事情就由php开始了。ubuntu16.04安装相关环境 apache,php,mysql (参考网站),一切都很顺利,但是在启动创建sqli-libs需要的secu 阅读全文
摘要:
第13题 题目: 分析: 这题老黑没解出来,只知道答案是name='youWon',根据网上的答案可知每个frame都有一个全局对象window,而name是window的成员属性,存储窗口的名称。老黑猜测输入name='youWon'会触发alert(1),但是实验网址没有提示。 第14题 题目: 阅读全文
摘要:
人在江湖,不服就干! 第9题: 分析: 对输入中的 < > & " ' 等符合进行了html编码转换,所以无法使用这些字符 TRY: 老黑也是通过看答案才知道的答案,输入 \x3csvg onload=alert(1) 会提示成功,但是我并没有在自己的html页面上重显弹窗,这个payload是用\ 阅读全文
摘要:
早上7点起床,又写了一篇小说发在了起点网上,有兴趣的可以看看。点击这里 忙完后,继续练习,刚开始发现自己答题的速度有些慢,可能是因为对于html,javascript知识不是很精通,但是话又说回来,谁又能一开始就将所有的知识一下子就掌握的很熟练呢? 第六题。 题目: 分析: 这个escape的作用就 阅读全文
摘要:
吃过晚饭,再练一题 第五题 分析: 技术点:正则表达式,html链接,img标签使用 正则表达式: 第2行:替换s中所有的<和",用html编码表示,点击查看 HTML编码表 正则表达式 g 代表全局模式,javascript replace 用法如下 第4行:将http://xx形式的内容替换成< 阅读全文
摘要:
游戏误人生,一下午玩了将近四个小时的三国杀,后悔不已,然后重新拾起xss challenge,突发奇想,自己构建渲染后的html。 从最简单的开始。 自动检测html: 效果: 知识积累: javascript中使用document.write()加载新的js代码,刚开始老黑误认为write函数将< 阅读全文
摘要:
本人黑绝楼,自称老黑,男,25岁,曾经在BAT工作过两年,但是一直都是底层人员,整天做重复性工作,甚敢无趣,曾和工作十年之久的同事聊天,发现对方回首过往,生活是寡淡如水,只有机械性工作。旋即老黑毅然决然辞职,现赋闲在家,打算从软件开发工程师转为安全研究,开这个博客记录平生,以飨各位看官。 老黑我无房 阅读全文
摘要:
阅读全文