摘要: 攻防世界 wtf.sh-150 点进去,发现是一个类似于论坛的网站,并且对报错等做了处理 用御剑扫描一下 ​ 发现是php形式的文件,但点进去访问不了。看看wp,发现此题存在路径穿越漏洞,就是(如果应用程序使用用户可控制的数据,以危险的方式访问位于应用服务器或其它后端文件系统的文件或目录,就会出现路 阅读全文
posted @ 2020-07-03 22:14 iloveacm 阅读(345) 评论(0) 推荐(0) 编辑
摘要: 攻防世界 Web_php_wrong_nginx_config ​ 打开题目地址,显示为登录页面。尝试用御剑扫描一下,发现了admin页面,点进去显示如下 点开控制台,发现如下 isLogin参数为0。尝试抓包并该islogin参数为1,返回依旧不变。 再扫描,发现robots.txt,点进去发现两 阅读全文
posted @ 2020-07-03 13:25 iloveacm 阅读(1300) 评论(0) 推荐(0) 编辑
摘要: 论文笔记 NetworkTrace: Probabilistic Relevant Pattern Recognition Approach to Attribution Trace Analysis ​ 本文提出了一种NetworkTrace框架用于分析网络攻击痕迹之间的归属关系,并提出了计算可疑 阅读全文
posted @ 2020-06-28 15:05 iloveacm 阅读(303) 评论(0) 推荐(0) 编辑
摘要: 论文笔记 On the Feasibility of Real-Time Cyber Attack Attribution on the Internet ​ 本文提出了一种在双向网络攻击(攻击者到目标之间存在双向流量)下的一种网络归因方法,即如何确定攻击者的来源,地点,入网口,攻击过程中的受感染节 阅读全文
posted @ 2020-06-27 16:11 iloveacm 阅读(311) 评论(0) 推荐(0) 编辑
摘要: 攻防世界 i-got-id-200 进入主页面,发现三个链接,御剑扫描一下,并没有发现什么。经过测试,发现,第二第三个界面会将提交的内容显示在页面上。当上传一句话木马时,会被注释掉。考虑用< script>绕过。无果。 后来发现网站是由perl语言所写,这真不会,去看看wp,发现漏洞在param() 阅读全文
posted @ 2020-06-26 19:37 iloveacm 阅读(751) 评论(0) 推荐(0) 编辑
摘要: 攻防世界 ics-07 点击之后发现有个项目管理能进,点进去,点击看到源码,如下三段 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && 阅读全文
posted @ 2020-06-25 22:50 iloveacm 阅读(782) 评论(0) 推荐(0) 编辑
摘要: 攻防世界 bug 发现有Register界面,先去注册 登录以后发现以下界面,点击Manage显示you are not admin,并且在注册界面用admin为注册名时显示用户名已存在。初步推测是设法改变admin的密码取得权限。 在主界面一通操作并没有什么发现,去findpwd页面试试 输入自己 阅读全文
posted @ 2020-06-25 17:05 iloveacm 阅读(526) 评论(0) 推荐(0) 编辑