12 2020 档案
摘要:本文首发于“合天网安实验室” 作者:HhhM 本文涉及知识点实操练习-绕过函数过滤(点击链接做实验) 实验:绕过函数过滤(合天网安实验室) 是否遇到过费劲九牛二虎之力拿了webshell却发现连个scandir都执行不了?拿了webshell确实是一件很欢乐的事情,但有时候却仅仅只是一个小阶段的结束
阅读全文
摘要:本文首发于“合天网安实验室” 作者: kawhi 前言 SSTI(Server-Side Template Injection)服务端模板注入在CTF中并不是一个新颖的考点了,之前略微学习过,但是最近的大小比赛比如说安洵杯,祥云杯,太湖杯,南邮CTF,上海大学生安全竞赛等等比赛都频频出现,而且赛后看
阅读全文
摘要:本文首发于“合天网安实验室” 作者: zoey 前言 在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。 无字母数字webshell简单来说就是payload中不能出现字母,数字(有些题目还有其他一些过滤),通过
阅读全文
摘要:本文首发于“合天网安实验室” 作者:lee2dog 描述:这是一个中等难度的取证挑战环境,通过网络取证调查方法和工具,找到关键证据获取flag。 靶机下载地址:https://www.vulnhub.com/entry/ha-forensics,570/ 本文涉及知识点实操练习-Vulnhub渗透测
阅读全文
摘要:本文首发于“合天网安实验” 作者: 浅墨 本文涉及靶场知识点- CVE-2020-14882&14883 weblogic未授权访问漏洞 实验:CVE-2020-14882&14883 weblogic未授权访问漏洞(合天网安实验室) 简介 WebLogic 是美国 Oracle 公司的主要产品之一
阅读全文
摘要:本文首发于“合天网安实验室" 作者:CNinja 本文涉及知识点实操练习- 密码学原理 课程:密码学原理(合天网安实验室) 密码学是研究如何隐密地传递信息的学科。在现代特别指对信息以及其传输的数学性研究,常被认为是数学和计算机科学的分支,和信息论也密切相关。密码学是信息安全等相关议题,如认证、访问控
阅读全文
摘要:本文首发于“合天网安实验室”作者:landvsec 本文涉及靶场知识点练习: CTF实验室 CTF从入门到实践-CTF一站式学习平台-合天网安实验室 0x01 前言 2020 年 10 月 31 日万圣节举办的德国比赛,界面很有特色,web 题目质量很高,队伍只出了三道,结束后通通复盘了一遍深入理解
阅读全文
摘要:本文首发于“合天网安实验室”作者:影子 本文涉及靶场知识点: 任意文件上传漏洞的代码审计01 实验:任意文件上传漏洞的代码审计01(合天网安实验室) 通过本节的学习,了解文件上传漏洞的原理,通过代码审计掌握文件上传漏洞产生的原因、上传绕过的方法以及修复方法。 0x01 呕吼,各位大表哥们,又是我,影
阅读全文
摘要:本文首发于“合天网安实验室” 作者:合天网安学院 本文涉及靶场同款知识点练习 实验:CVE-2020-1948 Apache dubbo远程命令执行漏洞(合天网安实验室) 通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。 简介 Dubbo是阿里巴巴公司开源的一个高性能优
阅读全文
摘要:本文首发于“合天网安实验室”作者:Kawhi 本文涉及靶场知识点: XXE漏洞分析与实践:实验:XXE漏洞分析与实践(合天网安实验室) XXE漏洞发生在程序解析XML输入时,没有禁止外部实体的加载,导致可以加载恶意的外部文件,可以造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、DoS攻击等危
阅读全文