11 2022 档案
摘要:ctfhub web技能树 SSRF 一、SSRF漏洞简介 SSRF(service side request forgery)为服务器请求伪造,是一种由攻击者形成服务器端发起的安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。正因为是由服务器端发起的,所以它能够请求到与它相连而与
阅读全文
摘要:CTFHub Web技能树-php:input 一.知识简介 php:// 访问各个输入/输出流(I/O streams) php://input 是个可以访问请求的原始数据的只读流。可以接收post请求作为输入流的输入,将请求作为PHP代码的输入传递给目标变量,以达到以post 的形式进行输入的目
阅读全文
摘要:ctfhub web技能树 RCE--文件包含 文件包含 一、知识简介 这边涉及的isset和strpos两个函数 isset()函数 strpos()函数 二、查看突破口 点击shell查看文件的列表,使用HackBar插件 ctfhub=system("ls/"); 点击执行 看到列表里面有fl
阅读全文
摘要:HTTP返回的状态码都表示什么含义 201-206都表示服务器成功处理了请求的状态代码,说明网页可以正常访问。200(成功) 服务器已成功处理了请求。通常,这表示服务器提供了请求的网页。201(已创建) 请求成功且服务器已创建了新的资源。202(已接受) 服务器已接受了请求,但尚未对其进行处理。20
阅读全文
摘要:Vulhub ElasticSearch 默认情况下,ElasticSearch使用两个端口监听外部TCP流量9200端口:用于所有通过HTTP协议进行的API调用。包括搜索、聚合、监控以及所有通过HTTP协议进行的API调用。包括搜索、聚合、监控以及任何使用HTTP协议的请求,所有的客户端都会使用
阅读全文
摘要:VUHUB DC-1靶场实战 一、前期准备 VWare虚拟机已安装 Kali Linux已安装 二、靶场搭建 DC-1靶场 第一步:点击上面的链接,下载DC-1靶场,并解压缩文件。 第二步:在虚拟机这边新建页面选择“打开虚拟机”,选择下载好的DC-1程序包,再点击打开 第三步:加载完成后,在DC-1
阅读全文
摘要:kali搭建vulhub靶场 一、简介 Vulhub:是一个面向大众的开源漏洞靶场,无需docker知识,仅需要执行两条简单的命令即可编译、运行一个完整的漏洞靶场镜像。让漏洞复现更加简单,让入门小白可以更加专注于漏洞本身。 Docker: 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖
阅读全文
摘要:Kali Linux 的Burp Suite 的简单使用-上(2022) Burp Suite是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、
阅读全文
摘要:ctfhub web技能树 RCE REC的简介这边大佬有详解:https://blog.csdn.net/qq_43814486/article/details/90020139 eval执行 一、打开题目 二、查看题目信息 题目这边提示要cmd中查找 输入如下命令: /?cmd=system("
阅读全文
摘要:JavaScript学习BOM操作BOM是浏览器对象模型(Browser Object Model)。它使JavaScript有能力与浏览器进行“对话”。alert():警告弹窗confirm() : 确定弹窗prompt(): 提示弹框 获取Cookie信息document.cookiealert
阅读全文
