Web安全-CTF

element-ui 子组件表格中选中数据,回显到父组件,并显示选中多少条

列数据...列数据...已选条数-总条数:{{selectedDataNum}}/{{tableData.length}}data(){selectedDataNum:0,//选中的数据条数rowSelectFlag
Wonderful_Wan8·2023-11-20 04:03

安全测试===burpsuit指南

网址:https://www.gitbook.com/book/t0data/burpsuite/details引子刚接触web安全的时候,非常想找到一款集成型的渗透测试工具,找来找去,最终选择了BurpSuite
软件测试技术·2023-11-20 04:48

Abstract Factory模式(设计模式)

AbstractFactory模式.png具体代码下载
DarknessShadow·2023-11-20 04:06

从0到1 CTFer成功之路》命令执行漏洞---学习笔记

命令执行漏洞命令执行一般发生在远程,故被称为远程命令执行,即RCE(RemoteCommandExec),也被称为RCE(RemoteCodeExec)。本节的RCE皆为远程命令执行。2.2.1命令执行的原理和测试方法2.2.1.1命令执行原理在各类编程语言中,为了方便程序处理,通常会存在各种执行外部程序的函数,当调用函数执行命令且未对输入做过滤时,通过注入恶意命令,会造成巨大的危害。下面以PHP
aweiname2008·2023-11-20 03:36

vscode下vue3项目配置eslint+prettier

Pleasepickapreset:Manuallyselectfeatures?Checkthefeaturesneededforyourproje
wlhing457·2023-11-20 02:07

设计模式 - 概览

单例模式(Singleton)工厂方法模式(FactoryMethod)抽象工厂模式(AbstractFactory)建造者模式(Builder)原始模式(Prototype)结构型类结构:采用继承机制来组合接口实现
Jomurphys·2023-11-20 02:59

2024年山东省职业院校技能大赛中职组“网络安全”赛项竞赛试题-A

本地安全策略设置A-3流量完整性保护A-4事件监控A-5服务加固A-6防火墙策略B-1Windows操作系统渗透测试400分B-2Linux系统渗透提权B-3隐藏信息探索B-4内存取证C、D模块C模块CTF
旺仔Sec·2023-11-20 00:04

2024年山东省职业院校技能大赛中职组“网络安全”赛项竞赛试题-B

A、B模块A-1登录安全加固180分钟200分A-2本地安全策略设置A-3流量完整性保护A-4事件监控A-5服务加固A-6防火墙策略B-1Windows操作系统渗透测试400分B-2数字取证调查B-3Web
旺仔Sec·2023-11-20 00:58

【Linux】重定向|重新理解Linux下一切皆文件

文件描述符,也是在上篇文章提到的,在描述进程属性的PCB对象中存在着一个structfile*的指针,该指针指向一个指针数组,指针数组的每一个指针又指向对应的文件。这个
在肯德基吃麻辣烫·2023-11-20 00:01

猿创征文|《Java》关键字大全-小结

、变量、修饰符1、abstract:2、class:3、extends:4、final:5、implements:6、interface:7、native:8、new:9、static:10、strictfp
道墨思冥·2023-11-20 00:54

【Web】Ctfshow SSTI刷题记录1

目录①web361362-无过滤②web363-过滤单双引号③web364-过滤单双引号和args④web365-过滤中括号[]、单双引号、args⑤web366-过滤单双引号、args、中括号[]、下划线⑦web367-过滤单双引号、args、中括号[]、下划线、os⑧web368-过滤单双引号、args、中括号[]、下划线、os、{{⑨web369-过滤单双引号、args、中括号[]、下划线、
Z3r4y·2023-11-19 23:19

Java 语言关键字有哪些

语言关键字有哪些分类关键字访问控制privateprotectedpublic类,方法和变量修饰符abstractclassextendsfinalimplementsinterfacenativenewstaticstrictfpsynchronizedtransientvolatileenum
墨子白·2023-11-19 23:48

Web安全研究(五)

AutomatedWebAssemblyFunctionPurposeIdentificationWithSemantics-AwareAnalysisWWW23文章结构introbackgroundsystemdesignabstractiongenapplyingabstractionsclassifierdatacollectionandhandlingdataacquisitionstat
西杭·2023-11-19 23:32

LitCTF2023 Writrup W4ntY0u

简介LitCTF2023是郑州轻工业大学首届网络安全赛,覆盖Web、Reverse、Pwn、Misc、Crypto、等主流赛题方向,面向国内所有个体及团队最终结果经过2天的激烈交战W4ntY0u战队拿下本次比赛第
王八七七·2023-11-19 22:40

LitCTF2023 Reverse 题解及复现

文章目录一.enbase641.main函数2.换表函数3.check函数4.解题脚本:二.snake1.修复MagicNumber2.反编译3.解题脚本三.ForAiur1.注意点2.解包3.反编译4.解题脚本四.程序和人有一个能跑就行了1.fakeflag2.真flag五.debase641.encode函数2.函数逻辑3.根据程序逻辑得到前16个字符4.爆破后四个字符得到flag一.enba
OrientalGlass·2023-11-19 22:00

CTF-REVERSE练习之逆向初探

目录预备知识一、了解REVERSE二、PEiD三、Ollydbg四、IDA实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、了解REVERSEREVERSE是CTF竞赛中的一种常见题目类型,主要考察参赛选手逆向工程相关的知识
「已注销」·2023-11-19 22:29

LitCTF2023 - Reverse方向 全WP

文章目录[LitCTF2023]世界上最棒的程序员[LitCTF2023]ez_XOR[LitCTF2023]enbase64[LitCTF2023]snake[LitCTF2023]程序和人有一个能跑就行了
Sciurdae·2023-11-19 22:26

vue实现树形下拉框 可多选 封装组件及应用

效果图:封装组件:TreeSelect.vue//事件有两个参数:第一个是所有选中的节点ID,第二个是所有选中的节点数据***importTreeSelectfrom"@/utils/components
冉冉胜起·2023-11-19 21:09

BUUCTF-[GYCTF2020]Blacklist

分析打开网页,提示是个黑名单。右键查看源代码,啥也没有,那就尝试抓包吧。没抓出什么东西,那就试试找注入点。看到请求包,知道是get注入,那直接测试get请求发现注入点,接下来查看列数两列,接下来union联合查询发现报错了,正则提示,select被禁用了returnpreg_match("/set|prepare|alter|rename|select|update|delete|drop|ins
南欢richrich·2023-11-19 21:38

BUUCTF-[GXYCTF2019]BabyUpload

分析首先,这是一道文件上传的题,题目给了GitHub的源码地址,那我就来进行代码审计。Upload上传文件";error_reporting(0);if(!isset($_SESSION['user'])){$_SESSION['user']=md5((string)time().(string)rand(100,1000));}if(isset($_FILES['uploaded'])){$ta
南欢richrich·2023-11-19 21:08

CTF-AWD入门手册

引文AWD赛制是一种网络安全竞赛的赛制。AWD赛制由安全竞赛专家及行业专家凭借十多年实战经验,将真实网络安全防护设备设施加入抽象的网络环境中,模拟政府、企业、院校等单位的典型网络结构和配置,开展的一种人人对抗的竞赛方式,考验参赛者攻防兼备的能力。其主要特点为:强调实战性、实时性、对抗性,综合考量竞赛队的渗透能力和防护能力。本文就个人经验来讲一下AWD比赛中需要做的事。站点部署比赛开始时我们会分配到
哈喽沃德er·2023-11-19 21:07

【网安必读】CTF/AWD实战速胜指南《AWD特训营》

文章目录前言正文这本书好在哪这本书讲了什么文末送书前言【文末送书】今天推荐一本网安领域优质书籍《AWD特训营》,本文将从其内容与优势出发,详细阐发其对于网安从业人员的重要性与益处。正文本书为博主推荐的必读书目之一,适用于以下读者:网络安全爱好者网络安全从业人员企业IT运维人员信息安全及相关专业的大学生随着网络安全问题日益凸显,国家对网络安全人才的需求持续增长,随着知识的指数式增长及政策扶持,安全行
秋说·2023-11-19 21:36

移动端树形选择组件 -- 基于vant4+vue3 支持多选、单选、节点搜索

效果图多选单选父组件使用子组件代码index.vue搜索全选在职离职确定import{reactive,watch,ref,nextTick,onMounted}from'vue'importTreeSelectfrom
怂叔·2023-11-19 21:36

vue3+vant 实现树状多选组件

效果图代码父组件引用importTreeSelectfrom"/selectTree.vue"selectTree组件确定import{reactive,watch,ref,nextTick,onMounte
跳跳的小古风·2023-11-19 21:35

【信息安全】浅谈三种XSS(跨站脚本攻击)的攻击流程与防御措施

XSS跨站脚本攻击(Cross-SiteScripting,简称XSS)是一种常见的Web安全漏洞,攻击者通过在Web应用中注入恶意脚本,使得浏览器在解析页面时执行该脚本,从而实现攻击目的。
HEX9CF·2023-11-19 21:34

软件设计之工厂方法模式

结构关系如下:可以看到,客户端创建了两个接口,一个AbstractFactory,负责创建产品,一个Product,负责产品的实现。
ོ栖落·2023-11-19 20:30

CTFhub-RCE

文章目录RCE对于Windows系统对于Linux系统命令注入过滤cat过滤空格过滤目录分隔符过滤运算符综合练习RCE在开始之前我们进行一些简单的了解,其实我也是做题做到后面才发现一些知识是必要去掌握的‍♂️‍♀️‍♀️‍♂️‍♀️‍♀️知识点-这里最好了解一下RCE分为远程命令执行ping和远程代码执行evel。漏洞出现的原因:没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的w
唤变·2023-11-19 19:23

CTF学习)CTFHUB-WEB-RCE

CTFHUB-WEB-RCERCEeval执行文件包含strpos()的漏洞php://input知识点php://input远程包含读取源代码php://filter命令注入linux中命令的链接符号过滤
老大的豆豆酱·2023-11-19 19:51

CTFHUB-RCE通关记录以及常见的绕过过滤的方法

Linux系统区分大小写就无法通过大小写来绕过本来想使用vi命令替换cat命令也能查看到flag中的内容但是失败了最后用了替换法:127.0.0.0;$a=ca;$b=t;$a$bflagxxxx题目源码:CTFHub
不想当脚本小子的脚本小子·2023-11-19 19:21

CTFhub-RCE-过滤运算符

检查网页源代码发现如果用户输入||(逻辑或操作符)或者是&(按位与操作符),就不会执行。直接进行测试,在URL后输入本地IP进行ping命令测试,发现可以正常回显。检查网页源代码发现如果用户输入||(逻辑或操作符)或者是&(按位与操作符),就不会执行。直接进行测试,在URL后输入本地IP进行ping命令测试,发现可以正常回显。因为题目代码已经过滤了管道符号,那么在上文中我们使用了路径分隔符;对文件
携柺星年·2023-11-19 19:50

CTFhub-RCE-综合过滤练习

127.0.0.1%0als列出当前目录返回包http://challenge-135e46015a30567b.sandbox.ctfhub.com:10800/?
携柺星年·2023-11-19 19:50

CTFHub-rce

CTFHub-rceeval执行文件包含phpinfophp://input读取源代码php://filter远程包含命令注入过滤catmore过滤空格过滤运算符综合练习rce:远程代码执行漏洞分为远程命令执行
CN天狼·2023-11-19 19:20

CTFhub-RCE远程代码执行

1、eval执行我们进去以后首先进行一个代码审计,发现这里密码cmd非常清晰OK话不多说连蚁剑我们看到这样一个文件右键选择在此处打开终端接下来就是按部就班的找到flag所在的文件,cat查看即可2、无过滤的命令注入先审计代码,嗯雀氏没有过滤输入127.0.0.1返回结果说明可以进行代码注入,接下来还是按部就班127.0.0.1;ls127.0.0.1;cat。。。。。这里没有返回可能是因为进行了加
红禾.·2023-11-19 19:49

CTFhub-RCE-过滤目录分隔符 /

根据源代码信息可知,过滤掉了/1.查看当前目录127.00.1;ls2.127.0.0.1;cdflag_is_here;ls;catflag_21082715328454.phpctfhub{32fc4a6e5efacbcfc917e014
携柺星年·2023-11-19 19:49

CTFHUB-RCE漏洞总结(二)

CTFHUB-RCE漏洞总结(二)一、远程包含二、源代码读取三、命令注入3.1linux中命令的链接符号四.过滤cat五.过滤空格链接:CTFHUB-RCE漏洞总结(一).一、远程包含  我也不知道这道题需要考察什么知识点
小蓝同学`·2023-11-19 19:48

CTFHub-RCE

RCE英文全称:remotecommand/codeexecute(远程命令/代码执行漏洞)是互联网的一种安全漏洞。它可以让攻击者直接向后台服务器远程注入操作系统命令,相当于直接操控服务器电脑的cmd命令行!从而操控后台系统,高危漏洞!RCE漏洞产生的根本原因:服务器像php环境版本对可执行变量函数没有做过滤,导致在没有自定义相对路径的情况下就运行命令去执行,从而导致服务器被入侵。eval执行我们
空白行·2023-11-19 19:18

CTFHub-Web-RCE练习

什么是RCE管道符Windows管道符Linux的管道符绕过方法相关命令执行变量CTFHub-Web-RCE练习eval执行命令注入-无过滤命令注入-过滤cat命令注入-过滤空格命令注入-过滤目录分隔符命令注入
Atkxor·2023-11-19 19:18

CTFhub-RCE漏洞详解

CTFHUB-RCE漏洞详解(一)一、eval执行二、文件包含三、php://input  RCE英文全称:remotecommand/codeexecute(远程命令/代码执行漏洞)是互联网的一种安全漏洞
小蓝同学`·2023-11-19 19:18

CTFHub技能书解题笔记-RCE-过滤cat

打开题目,提示我们过滤了cat命令,也就是不能用cat来读取flag的值。这里的话我就去查了linux读取文件的命令。cat从第一行开始显示文本内容(适用于内容较少的)Tac从最后一行开始显示,是cat的逆顺序More一页一页的显示文本内容(适用于内容较多的)less与more类似,但是比more更好的是,它可以往前翻页head只看文本的前面几行tail只看文本的后面几行nl显示文本内容与行号既然
大西瓜的安全之路·2023-11-19 19:17

CTFHub技能书解题笔记-RCE-综合过滤练习

直接开题,综合过滤。提示我们:同时过滤了前面几个小节的内容,如何打出漂亮的组合拳呢?估计也是直接给了源码。直接打开链接,看到他过滤了,空格、/、\&、catflag一堆。这里我们慢慢绕过吧。一层层过。首先,还是查看文件,LS他没过滤,但是过滤了;号,这里得找个替代,通过查url编码表发现%0a可以实现换行。进行利用,发现;可以通过%0a代替ls执行成功,看到了flag的位置,这里cat被过滤,可以
大西瓜的安全之路·2023-11-19 19:17

CTFHub----RCE

一.命令注入1.eval执行首先了解什么是eval函数eval函数会将括号内的值当成php命令执行http://challenge-9a888bfbaae5e647.sandbox.ctfhub.com
jjj34·2023-11-19 19:17

CTFHUB-web-RCE

/flag_17045'));==flag{ctfhub{1386122887aeba8899f58668}
ofo300·2023-11-19 19:45

CTF刷题记录CTFHub-RCE-命令注入

**CTFHub-RCE-命令注入**1.无任何的过滤一、解题思路通过输入一些指令,利用某些特定的函数进行的操作,从而达到命令执行攻击的效果。
山川绿水·2023-11-19 19:15

ctfhub--技能树rce

一,eval执行PHP代码显示,要求将命令赋值给cmd然后执行先查看一下根目录文件/?cmd=system("ls");!切记最后的分号不可省略!没有需要的文件看看上一级的文件夹/?cmd=system("ls/");!切记最后的分号不可省略!打开flag文件发现FLAG/?cmd=system("catflag_1171");!切记最后的分号不可省略!二,文件包含补充知识:isset()函数st
lulu001128·2023-11-19 19:43

CTFHUB-WEB-RCE

1.eval执行所谓eval就是eval()函数,这个函数的作用是把一串字符串当作PHP语句来执行。从代码中我们可以看出,浏览器以REQUEST请求一个cmd,直接在url传入一个cmd。system('ls/'):查看根目录。访问里面的flag文件获取flag。system('cat/flag_1847'):查看文件flag。2.文件包含strpos():返回字符串在另一字符串中第一次出现的位置
Lydia_Ha·2023-11-19 19:40

CTFhub-RCE-过滤cat

查看当前目录:输入:127.0.0.1|ls127.0.0.1|catflag_42211411527984.php无输出内容使用单引号绕过127.0.0.1|c''atflag_42211411527984.php|base64使用双引号绕过127.0.0.1|c""atflag_42211411527984.php|base64使用特殊变量绕过127.0.0.1|c$@atflag_42211
携柺星年·2023-11-19 19:08

select for update 并发insert死锁问题

死锁原因:有多个请求同时希望insert表,程序中逻辑如下:selectforupdatewhereuid=?
myf008·2023-11-19 19:44

青少年CTF-WEB-2048

题目环境:针对这种游戏通关类题目,常见的有两种情况一、有参数改参数的数值达到题目规定的分数即可拿到flag二、没有参数那么flag就是被编码了,找编码即可这道题并没有说题目通关即可获得flag,也并没有发现参数所以这里猜测flag被编码了,就在源代码里面F12查看源代码查看2048.js文件内容发现可疑编码alert(String.fromCharCode(24685,21916,33,113,1
白猫a٩·2023-11-19 18:55

[msg_msg] corCTF2021 -- fire_of_salvation

前言msg_msg是kernelpwn中经常用作堆喷的结构体.其包含一个0x30大小的header.但msg_msg的威力远不如此,利用msg_msg配合其他堆漏洞可以实现任意地址读写的功能.程序分析本题给了源码,可以直接对着源码看.并且题目给了编译配置文件,所以可以直接编译一个内核以此来导入符号.作者给了提示:Difficulty:insaneAuthor:D3v17andFizzBuzz101
XiaozaYa·2023-11-19 18:39

【Web】Ctfshow SSRF刷题记录1

核心代码解读curl_init():初始curl会话curl_setopt():会话设置curl_exec():执行curl会话,获取内容curl_close():会话关闭①web351post:url=http://127.0.0.1/flag.php或者url=file:///var/www/html/flag.php查看源码②web352-353前置知识:127.1会被解析成127.0.0.
Z3r4y·2023-11-19 15:02
上一页 73 74 75 76 77 78 79 80 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他