Web安全-CTF

[ACTF2020 新生赛]Exec 1

题目环境:是一个ping操作,ping个127.0.0.1试试有回显结果看起来有点像PWN的题,猜测通过列出目录文件,是否存在flag文件,并查看文件内容,并且存在两种方法解题,一种是管道符,一种是堆叠查询第一种、管道符列出目录文件127.0.0.1|ls列出隐藏文件127.0.0.1|ls-a发现存在上级目录因此可以看出,此处命令执行并不是在root/根目录下进行的列出/根目录下的目录文件127
白猫a٩·2023-10-27 17:39

BUUCTF-[ACTF2020 新生赛]Include 1 write up

先打开靶机,ctrl+u查看一下页面源代码:“?file=flag.php”表示这里应该有文件包含漏洞,页面调用了include语句,那么我们使用php伪协议中的php://filterphp://filter可以获取指定文件源码。当它与include函数结合时,php://filter流会被当作php文件执行。所以我们一般对其进行编码,让其不执行。从而导致任意文件读取。php://filter可
今天不用学物理吧·2023-10-27 17:38

[ACTF2020 新生赛]Include1

[ACTF2020新生赛]Include11.我们打开之后发现一个跳转网页2.分析过后没有头绪看完大佬的说法php://input:用来接收POST数据。
小*-^-*九·2023-10-27 17:05

buuctf [ACTF2020 新生赛]Include

如图所示点击tips试试注意到URL后面多了?file=flag.php根据题目的include,应该是文件包含题目尝试一下php伪协议读文件把URL后面?file=flag.php改成如下?file=php://filter/convert.base64-encode/resource=flag.phpphp伪协议,将flag.php的内容通过base64加密后读出来解密一下得到flag{538
Kavint·2023-10-27 17:35

【BUUCTF】ACTF2020 新生赛Include1 write up

查看源代码+抓包都没有发现什么信息,只有这两个东东Canyoufindouttheflag?tipsBUT根据题目include和?file=flag.php就知道是文件包含题了,用php伪协议读取flag.php的内容payload:file=php://filter/read=convert.base64-encode/resource=flag.phpphp://协议可以获取指定文件的源码,
添砖@Java·2023-10-27 17:04

[ACTF2020 新生赛]Include 1

题目环境:超链接,点进去看看你能找到flag吗?除了这些网页什么都没有,但是不当紧,因为我们有一双善于发现的眼睛F12瞅瞅无,并无其他等等URL看了吗?发现存在一个参数file,并且已经给出flag.php文件了主题题目名称Include,意为文件包含,大部分文件包含都要用到PHP伪协议通过PHP伪协议构造payload:URL/?file=php:filter/read=convert.base
白猫a٩·2023-10-27 17:04

什么是CSRF?如何防御CSRF攻击?知了堂告诉你

学习web安全就一定不能不知道CSRF,那么什么是CSRF呢?对于CSRF攻击我们应该如何进行防御呢?小编这里就整理了CSRF的介绍、原理以及防御方法来帮助大家认识CSRF。一、什么是CSRF?
知了堂_IT·2023-10-27 16:17

从0到1:CTFer的成长之路死亡ping命令

从0到1:CTFer的成长之路死亡ping命令题目要求:路由器管理台经常存在的网络ping测试,开发者常常会禁用大量的恶意字符串,试试看如何绕过呢?
扣脚大汉在网络·2023-10-27 15:32

Simulink自带的MPC控制器调试过程中报错

报如下错误:Controllercannotbedesignedintheappduetothefollowingproblem:Directfeedthroughfrommanipulatedvariablestoanyoutputisnotallowed
weixin_43796045·2023-10-27 15:09

Java——23种设计模式

文章目录1.什么是设计模式2.设计模式的分类3.设计模式的七大原则4.创建型模式(5种)4.1单例模式(Singleton)4.2工厂模式(Factory)4.3抽象工厂模式(AbstractFactory
「已注销」·2023-10-27 13:33

服务器中间件版本信息泄露,中间件版本信息泄露漏洞

中间件版本信息泄露漏洞《Web安全测试学习手册》-中间件版本信息泄露漏洞0x00中间件版本信息泄露漏洞1)什么是中间件版本信息泄露漏洞通常在HTTP报文的响应头中存在的标志、版本号等信息均属于中间件的版本信息泄露漏洞
胡子长过汪涵·2023-10-27 13:01

攻防世界supersqli-强网杯随便注(堆叠注入顶级练手题目)

文章目录XCTF-supersqli本题知识点尝试闭合查列联合注入尝试堆叠注入堆叠注入原理查询数据库查表查内容预处理绕过XCTF-supersqli本题知识点sql注入堆叠注入尝试闭合直接在输入框中尝试闭合
sean7777777·2023-10-27 13:39

CTF-18.web安全PUT上传漏洞

中间件PUT漏洞介绍中间件包括apache、tomcat、lIS、weblogic等,这些中间件可以设置支持的HTTP方法。(HTTP方法包括GET、POST、HEAD、DELETE、PUT、OPTIONS等)每一个HTTP方法都有其对应的功能,在这些方法中,PUT可以直接从客户机上传文件到服务器。如果中间件开放了HTTP中的PUT方法,那么恶意攻击者就可以直接上传webshell到服务器对应的目
wow2ok·2023-10-27 13:38

第30天:WEB攻防-通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外

目录堆叠注入(大概率没卵用)原理:条件:二次注入DNSlog外带堆叠注入(大概率没卵用)原理:数据库的多条语句执行条件:1、实际应用场景中,堆叠注入遇到的会很少,大部分会在CTF比赛中遇到。
My Year 2019·2023-10-27 13:38

# MyBatis配置

zh/configuration.html掌握properties元素的用法掌握setting元素的用法掌握typeAliases的用法重点掌握typeHandler在Mybatis中的用法了解ObjectFactory
哈哈啊_07e8·2023-10-27 13:24

buuctf [强网杯 2019]随便注 1

buuctfweb[强网杯2019]随便注1-刷题个人日记小白一个,写给自己看。打开后是这样。从题目和内容来看就是一道sql注入题。
__byb__·2023-10-27 13:36

i春秋-CTF-web文件上传

前言本来吧,悄悄摸鱼,想整点啥打发时间,看视频太明显,于是做做题,眉头紧锁,仔细思考,装作工作很难的样子。这回选择web类型的题目,主要是好久没做了,手有点生,找个简单的文件上传练练。打开题目环境发现:好像是没有什么特别的。但是往下翻看却是别有洞天。众所周知,php是后端语言,正常情况下前端是看不到的,也就是说,出题人还是很贴心的(虽然我觉得出题人没那么好心)。文件上传章节练习题.login-bo
Sombra_Olivia·2023-10-27 13:03

ctf-web

ctf-web信息搜集认证绕过SQL注入文件上传文件包含PHP代码审计信息搜集源码泄露页面源代码敏感文件泄漏备份文件(.swp/.bak/.beifen/~/phps等)[外链图片转存失败,源站可能有防盗链机制
ch1762·2023-10-27 13:33

ctf php文件上传图片格式,CTF-WEB:文件上传

文件上传一句话木马利用文件上传漏洞往目标网站中上传一句话木马,然后就可以在本地获取和控制整个网站目录。利用一句话木马进行入侵时需要满足木马上传成功未被查杀,知道木马的路径在哪并保证上传的木马能正常运行。一个简单的PHP一句话木马如下:@表示后面即使执行错误也不报错,eval()函数表示括号内的语句字符串什么的全都当做代码执行,$_POST['flag']表示从页面中获得flag这个参数值。上传过滤
燕仰·2023-10-27 13:32

ctf攻防渗透-文件上传-文件上传漏洞详解

1、文件上传漏洞条件:上传文件时,如果服务端代码没有对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括上传脚本文件(asp、aspx、php、jsp等格式的文件)要完成文件上传漏洞攻击,要满足如下几个条件:•上传的文件能够被Web容器解释执行•用户能够从Web上访问到这个文件•没有被安全检查、格式化、压缩等功能改变文件内容2、验证绕过类型:2.1、无验证直接上传一句话木
赤年·2023-10-27 13:31

CTF-show-文件上传

文件上传1、web1512、web1523、web1534、web1545、web1556、web1567、web1578、web1589、web15910、web16011、web16112、web1621、web151(1)法一:抓包改后缀题目提示是前台校验,发现能上传图片,于是准备好的一句话木马改为png后缀上传再抓包将文件后缀修改为php再放包,可以看到文件上传成功上传成功后蚁剑连接即可得
ジキル·2023-10-27 13:30

CTFHub-Web-文件上传

目录知识点一、无验证二、前端验证三、.htaccess1、题目简介2、解题思路3、解题:上传htaccess文件==》上传符合我们重新后规则的文件==》蚁剑连接四、MIME绕过1、知识点2、解题思路五、文件头检查六、00截断1、知识点:PHP5.200截断上传的原理2、题目简介3、解题步骤七、双写后缀1、题目简介2、解题步骤知识点1、文件上传漏洞的前提条件:(1)、可以成功上传木马;(2)、上传成
star-R·2023-10-27 13:30

Web-CTFHUB文件上传漏洞

Ctfhub文件上传总结一、无验证形式二、前端验证三、.htaccess四、MIME绕过五、00截断六、双写后缀  文件上传漏洞是指攻击者上传了一个可执行的脚本文件到服务器,并执通过此脚本文件获得执行服务端命令的能力
小蓝同学`·2023-10-27 13:00

CTF-WEB 文件上传绕过技巧

1、前端javascript绕过#删除或者禁用js#BurpSuite抓包修改文件类型与文件头等信息2、后端检测——后缀名检测#黑名单:html/htm/php/php2/php3/php4/php5/phtml/pwml/inc/asp/aspx/ascx/jsp/cfm/cfc/pl/bat/exe/com/dll/vbs/js/reg/cgi/htaccess/.user.ini/asis/
@NK·2023-10-27 13:00

ctf-web:关于文件上传漏洞的深入研究

这次我们研究的内容属于上节课的补充内容,大约是关于文件上传的绕过与防御.怎么说呢,算是一种锻炼吧.因为下个月有个awd的比赛,因此最近会经常发一些关于web的内容.其实我还是挺慌的,因为以前参加的都是ctf
薯片薯条·2023-10-27 13:28

CTF---Web---文件上传---01---文件欺骗+命令执行

文章目录前言一、题目描述二、解题步骤1、文件欺骗(GIF89a)2、上传路径(uploads)3、利用上传漏洞三、总结前言题目分类:CTF—Web—文件上传—01—文件欺骗+命令执行一、题目描述题目:文件上传二
ygxzq520·2023-10-27 13:28

第三十天:WEB攻防-通用漏洞&SQL注入&CTF&二次&堆叠&DNS带外

有一说一,这节课我不是很懂,听的很懵逼二次注入SQL注入中的二次注入常见于注册新建等功能点,当我们注册一个新的账号时,需要我们设置我们的邮箱,用户名,密码。但是当我们成功注册后,登录只需要邮箱与密码即可完成登录,且进入后台用户中心后,我们也可以发现我们的用户名会被显示出来,这就是SQL注入的常见出现流程我们在注册新的账号时,如果使用了‘’“”等符号,会被转义。所以我们常使用的sql注入payloa
新奇八·2023-10-27 12:55

ctf-web-sql注入

题目链接:跳转提示打开网页,一个登陆页面,根据题是本题题型是基于布尔的SQL盲注首先在用户名处输入admin得到结果:即密码确为admin,而如果不输入用户名直接输入密码,发现报错可见后台是先判断用户名是否正确存在,当用户名正确后再判断密码是否正确。经测试发现,当出现'空格符','=','and'等字符时,发现会报错显示:‘illegalcharacter’,即知道这些字符会被过滤,可以用括号来避
榴莲 蛋挞·2023-10-27 12:24

CTF-web文件上传漏洞

文件上传漏洞文件上传功能文件上传流程和上传攻击WebShell——网页木马文件以php语言创建一句木马:之间的gok为连接的木马将其放入phpstudy工具的网站根目录里,即网址为http://10.0.3.23/eval.php利用菜刀连接木马打开后,右键添加右键->文件管理,可以看到里面的信息还可以模拟端右键->数据库管理大马介绍一句话木马介绍一句话木马连接文件上传漏洞利用登录后,点击File
彬彬有礼am_03·2023-10-27 12:22

XCTF-攻防世界CTF平台-Web类——14、supersqli(SQL注入、关键词过滤)

目录标题方法一、堆叠注入1、rename修改表名和alterchange修改列名2、rename修改表名和alteradd添加列名方法二、handler语句方法三、预编译打开题目地址之后搜索:1’or1=1#成功返回了3条数据,说明存在SQL注入漏洞之后先判断有几列数据,使用orderby1让返回的数据按照第一列排序:1'or1=1orderby1#返回了正确的结果,并且按照第一列排序了,说明至少
大灬白·2023-10-27 12:20

Web攻防05_MySQL_二次注入&堆叠注入&带外注入

文章目录MYSQL-二次注入-74CMS思路描述:注入条件:案例:74CMS个人中心简历功能MYSQL-堆叠注入-CTF强网思路描述注入条件案例:2019强网杯-随便注(CTF题型)MYSQL-带外注入
chuan川、·2023-10-27 12:16

CTF-Web(3)文件上传漏洞

笔记目录CTF-Web(2)SQL注入CTF-Web(3)文件上传漏洞1.WebShell介绍(1)一句话木马定义一种网页后门,以asp、php、jsp等网页文件形式存在的一种命令执行环境,而一句话木马往往只有一行
Bug型程序员·2023-10-27 12:46

CTF-Web(2)SQL注入

笔记目录CTF-Web(2)SQL注入CTF-Web(3)文件上传漏洞1.注入介绍(1)原理①SQL注入如何注入Webshell1.目标存在sql注入漏洞,且已经获取目标的绝对路径2.并且通过探测发现目标能够进行数据的导入和导出操作
Bug型程序员·2023-10-27 12:16

让你轻松学会PHP版自动化SQL盲注工具-全库-全表-全字段-全字段值查询

前言由于一些个人原因,很久没有研究WEB安全方面的一些问题了(废话四个月前月还发了帖),正好炎炎夏日暑假的生活到来,这个时候我需要的是恶补,恶补,恶补。
H_00c8·2023-10-27 10:17

新手如何入门网络安全、0基础如何学习Web安全

[福利:\[网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!\]](https://mp.weixin.qq.com/s/BWb9OzaB-gVGVpkm161PMw)相信很多人想进入网络安全,都是听说网络安全就业前景大,薪资很高,入门门槛也相对较低,但是,对于0-2年的网安新人,要学习网络安全往往还是存在以下方面困惑和迷茫。没方向:网安种类千千万,不知道自己适合哪一类!没方法:没经验
教IT的无语强·2023-10-27 07:29

Java类的声明详解

二、类声明语法[修饰符][static][final][abstract][strictfp]class类名[extends父类名][implements接口名]{[类体;]}注释:[]代表可以忽略。
打死不写博客-真香·2023-10-27 07:07

react-player实现视频播放与自定义进度条

环境react.jsantdesignpro4.0实现效果代码importReactfrom'react'import{PageHeaderWrapper}from'@ant-design/pro-layout
qq_41315539·2023-10-27 06:46

hive sql,年月日 时分秒格式的数据,以15分钟为时间段,找出每一条数据所在时间段的上下界限时间值(15分钟分区)

yyyy-MM-ddHH:mm:ss')date_format(时间字段,‘yyyy-MM-ddHH:mm:ss’)将时间字段转为2023-10-1818:14:16这种格式在指定时间上增加15分钟selectfrom_unixtime
一纸春秋·2023-10-27 01:54

【BUUCTF】Web题解

知识点链接-SQL万能密码正常的逻辑是输入正确的用户名和密码,才能登录;由于没有任何防止sql注入的措施,所以一般正常的查询语句为selectuserfromctfwhereuser=adminandpw
苏柘_level6·2023-10-27 01:17

linux wkhtmltopdf 运行报错 ./wkhtmltopdf: error while loading shared libraries: libXrender.so.1: cannot

/wkhtmltopdf:errorwhileloadingsharedlibraries:libXrender.so.1:cannotopensharedobjectfile:Nosuchfileordirectory
夜月号角·2023-10-27 00:11

BugkuCTF练习题解——Web一

文章目录1.Web22.计算器3.Web基础$_GET4.Web基础$_POST5.矛盾6.Web37.域名解析8.你必须让他停下9.本地包含10.变量111.Web512.头等舱13.网站被黑14.管理员系统15.Web416.flag在index中17.输入密码查看flag18.点击100万次19.备份是个好习惯20.成绩单21.秋名山老司机22.速度要快23.Cookies欺骗24.Neve
Polaris@·2023-10-27 00:09

CTF攻防世界web题解题思路XFF-REFERER

1.打开网页2.然抓个包改变下ip3.用X-Forwarded-For改变ip,如图:4.因为要重复使用所以要用repeater,然后发送5.然后是这样,点击render6.最后输入referer7.点render,可得到flag知识点:1.ip地址可以用,X-Forwarded-For改2.referer是就是来源网站。
想喝书亦·2023-10-27 00:38

[FSCTF 2023] web题解

文章目录源码!启动!webshell是啥捏细狗2.0ez_php1Hello,youEZ_eval源码!启动!打开题目,发现右键被禁了直接ctrl+u查看源码得到flagwebshell是啥捏源码php中变量与变量之间用点号连接表示拼接题目拼接结果为passthru那么我们直接ls/得到flag细狗2.0简单的命令执行绕过payload?hongzh0=;ca\t$IFS$1/fl*g得到flag
Sx_zzz·2023-10-27 00:34

2023「羊城杯」DASCTF EZ_Misc Wirteup

题目**题目名称:**EZ_misc**题目内容:**一道简单的misc捏…解题过程图片分析发现图片内含有一个zip压缩文件。zip文件头格式为504B0304,将其修改正确后使用binkwalk分离,或直接导出至新文件。打开压缩包,内有fled.txt,内容为vzbtrvplnnvphsqkxsiqibroouTXTDecode通过PNG&TXT的命名Grons&Feld,可以推测加密方式为格罗
Rsa7an·2023-10-27 00:33

记 :2023CTF羊城杯-Reverse方向 CSGO ‘ ‘ 题目复现

文章目录前言题目分析and调试过程exp前言第二题,菜鸟入门。当初打都没写出来,现在复现一下;羊城杯题目复现:第一题知识点:DES算法:Ez加密器第三题虚假控制流py字典MD5算法;;Blast知识点,只是博主个人学习的点。题目分析and调试过程IDA打开后,随便看看,暂时看不出什么有用的东西。(这题真不该没出的,但当时插件都没装o(╥﹏╥)o,也不会猜,好菜)仔细看一下右侧函数一栏,其实就有一个
Sciurdae·2023-10-27 00:28

记 : CTF2023羊城杯 - Reverse 方向 Blast 题目复现and学习记录

文章目录前言题目分析and复习过程exp前言羊城杯题目复现:第一题知识点:DES算法:链接:Ez加密器第二题知识点:动态调试:链接:CSGO这一题的查缺补漏:虚假控制流的去除(还没学习);MD5加密算法的原理:链接:MD5加密算法原理python字典的使用刚学点题目分析and复习过程ida打开,到main函数里面发现都是虚假控制流的混淆,还不知道怎么去除,先Shift+F12搜索字符串看到succ
Sciurdae·2023-10-27 00:28

CTF-Crypto学习记录-第三天 MD5加密算法(信息摘要算法)“ “

文章目录0x1MD5基本介绍0x2MD5加密特点0x3MD5加密原理步骤0x01对明文数据进行信息填充0x02设置初始变量0x03加密运算过程加密运算流程图:四个非线性函数:Mj表示消息的第j个子分组(从0到15),<<:四轮运算:MD5伪代码0x1MD5基本介绍MD5加密算法,也称信息摘要算法(Message-DigestAlgorith5),所谓的信息摘要就是将明文内容按一定的规则生成一段哈希
Sciurdae·2023-10-27 00:28

CTF-Crypto 第二天-DES加密算法原理学习

文章目录DES算法简介DES算法流程迭代加密费斯妥函数(F函数)密钥调度混淆与扩散DES算法简介数据加密标准(DataEncryptionStandard,缩写DES)是一种对称加密算法,也是一种分组加密算法。对称加密指的是在加密和机密时使用同一个密钥的加密算法,加密算法可以被公开,发送和接收双方要事先得到同一个密钥。常见的对称加密算法有AES、ChaCha20、3DES、Salsa20、DES、
Sciurdae·2023-10-27 00:27

CTF Reverse逆向学习之SMC动态代码加密技术,题目复现(NSSCTF)([网鼎杯 2020 青龙组]jocker)

SMC简介SMC,即SelfModifyingCode,动态代码加密技术,指通过修改代码或数据,阻止别人直接静态分析,然后在动态运行程序时对代码进行解密,达到程序正常运行的效果。SMC的实现方式有很多种,可以通过修改PE文件的SectionHeader、使用APIHook实现代码加密和解密、使用VMProtect等第三方加密工具等。关于具体的实现方式可以参考合天的文章:探究SMC局部代码加密技术以
Sciurdae·2023-10-27 00:57

CTF之逆向Reverse入门推荐学习知识点总结面向新手小白

一、CTF之逆向写这篇文章,主要是解决自己当初不知道怎么入门的困惑,算是替曾经的自己写的吧,博主也还在入门,请路过的佬勿喷。
Sciurdae·2023-10-27 00:57
上一页 94 95 96 97 98 99 100 101 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他