2022年4月5日
姿势-文件上传总结
摘要: 上传漏洞类型总结 原文链接: https://zhuanlan.zhihu.com/p/74555530 0x01.限制上传的逻辑在前端 禁用js或者F12修改即可 0x02.仅限制Content-Type Burp截包,修改Content-Type,然后放行,即可绕过 0x03.可重写文件解析规则 阅读全文
posted @ 2022-04-05 14:38 sherlson 阅读(52) 评论(0) 推荐(0) 编辑
姿势-Google Hack
摘要: Google Hack语法总结 原文链接:https://zhuanlan.zhihu.com/p/365494074 inurl:Login 将返回url中含有Login的网页 intitle:后台登录管理员 将返回含有管理员后台的网页 intext:后台登录 将返回含有后台的网页 inurl:/ 阅读全文
posted @ 2022-04-05 14:35 sherlson 阅读(669) 评论(0) 推荐(0) 编辑
2022年4月4日
其他-学习总结
摘要: 剑桥学霸学习方法总结笔记 B站 →剑桥学霸:我是如何在剑桥大学考第一的?!20个学习秘诀大公开 视频链接:https://www.bilibili.com/video/BV1aS4y1U7JQ?p=1&t=73 5个主题: Target 利用树形图了解科目主题 首先明确学习的主题,利用树形图(脑图) 阅读全文
posted @ 2022-04-04 17:06 sherlson 阅读(36) 评论(0) 推荐(0) 编辑
2022年3月31日
复现-V&N CTF 2020
摘要: VNCTF 2020 misc 签到 真*签到 flag{welcome_to_vn} 知识点:有手就行 拉跨的三条命令 题目附件是一个zip文件,解压之后得到两个文件: 在参加网络安全大赛第二届世界巡回赛新加坡站一场与SP战队的比赛时,作为K&K战队主防手的你使用经典的“三条命令”检查端口封闭状况 阅读全文
posted @ 2022-03-31 12:39 sherlson 阅读(121) 评论(0) 推荐(0) 编辑
2022年3月29日
面试-菜鸟安全
摘要: 面试-菜鸟安全 菜鸟安全面试复盘: redis未授权访问漏洞原理和利用方式 ssrf的原理和利用方式 CSRF的原理和防御方式 (接上问)token方案的原理 CORS(跨域资源共享)的原理和危害 CORS出现的根本原因 CORS中怎么去做校验(防止CORS) CORS修复需要配置的header头是什么 反射型XS 阅读全文
posted @ 2022-03-29 12:00 sherlson 阅读(61) 评论(0) 推荐(0) 编辑
2022年3月23日
其他-zsh文件备份
摘要: #!/bin/sh # # This script should be run via curl: # sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)" # 阅读全文
posted @ 2022-03-23 09:38 sherlson 阅读(42) 评论(0) 推荐(0) 编辑
随笔
摘要: Offer & Life 作者:陈皓 链接:https://www.zhihu.com/question/55397210/answer/144568646 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 谢题主邀请回答,我不想直接给出答案,因为这是题主的选择,应该 阅读全文
posted @ 2022-03-23 09:34 sherlson 阅读(22) 评论(0) 推荐(0) 编辑
buu-n1book xss
摘要: xss-lab 进入靶场 level 1 改变参数username,页面显示发生变化,说明存在xss点 尝试payload: <script>alert</script> level 2 尝试上一关的做法: 失败。于是审计源码,关键代码如下: <script type="text/javascrip 阅读全文
posted @ 2022-03-23 09:33 sherlson 阅读(37) 评论(0) 推荐(0) 编辑
密码学笔记
摘要: 密码学笔记 课程地址:https://www.bilibili.com/video/BV1Ht411w7Re?p=1&t=255 离散数学基础 详细内容见http://en.wikibooks.org/High_School_Mathematics_Extensions/Discrete_Proba 阅读全文
posted @ 2022-03-23 09:31 sherlson 阅读(367) 评论(0) 推荐(0) 编辑
其他-许少模拟面试记录
摘要: 许少模拟面试 模拟面试一 一面:(安全) 自我介绍(比较优秀的版本) 报错注入的函数 文件上传的漏洞原理 文件上传的waf及其绕过方式 约束与非约束委派攻击的利用和原理 比较熟悉的漏洞 有无了解最新的漏洞(问的概率挺大的) 最新的Linux提权漏洞有无了解 了解免杀吗(腾讯这位师傅经常问) 怎么做免 阅读全文
posted @ 2022-03-23 09:29 sherlson 阅读(147) 评论(0) 推荐(0) 编辑