webinclude
https://www.gem-love.com/ctf/2161.html
对此题感到无语,真一点提示都没有吗 Orz
12345678910111213141516171819202122# coding=UTF-8import time import requestsimport base64url = "http://183.129.189.60:10009/image.php?t={}&f=ZGF0YTovLy4uLy4uLy4uLy4uLy4uLy4uL2ZsYWc=".format(int(time.t...
docker remote api
官方文档🔗:https://docs.docker.com/engine/api/可以通过 docker version查看 Engine: API version个人当前 服务器和客户端都是1.4版本需注意版本不同,手册也不同,基本上一个小版本一个手册我宣布curl就是我大哥 👍
search the containers1curl http://192.168.21.131:2375/containers/json
create one container
create.json
https://...
HSCTF
全称是 high school catch the flag
webDebt Simulator这题不知道要做什么,当然也不知道该怎么做 问问其他人有没有想法
nice 做出来了
1<!doctype html><html lang="en"><head><meta charset="utf-8"/><meta name="viewport" content="width=device-width,initial-scale=1"/>&...
[toc]
0x01 周web[极客大挑战 2019]Secret File一路跟着提示,跟到secr3t.php
12345678910111213141516<html> <title>secret</title> <meta charset="UTF-8"><?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(strstr($file,"../&q...
[toc]
VulnStack 0x01靶场复现 - ATT&CK 1下载链接: 漏洞详情 (qiyuanxuetang.net),喵的还是CS快乐
描述红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019:
一、环境搭建1.环境搭建测试2.信息收集
二、漏洞利用3.漏洞搜索与利用4.后台Getshel...
要求 0x011、编写常规回显注入的代码,在之前的搭建的环境中测试是否正常
2、编写报错注入的代码,并做相应的服务器配置来满足条件,并测试代码是否正常
3、编写盲注的代码,在之前的搭建的环境中测试是否正常
4、编写宽子节注入的代码,并做相应的服务器配置来满足条件,并测试代码是否正常
注意事项:环境可以是虚拟机的快照、也可以是 docker 环境,具体用什么可以自选,重点是学习造成这几类注入的原因;注入漏洞通常会出现在多个场景,比如:注册、登录、查询、搜索、留言等,所以写那些脚本的时候可以自选场景,不限于举例的场景;有些注入环境与服务器配置相关,需要大家配置相应的漏洞环境来结合自己编写的脚...
使用环境环境的下载与搭建
https://github.com/c0ny1/upload-labs
推荐使用docker配环境太烦了
知识点与参考
项目作者画的图
推荐阅读:
https://blog.csdn.net/wn314/article/details/77074477
https://blog.csdn.net/wn314/article/details/77388337
https://blog.csdn.net/wn314/article/details/77388289
upload-labs0x01客户端检验
1234567891011121314151617f...
要求任务标题: web 安全之页面解析的流程学习
1、理解域名解析的整个过程
2、理解 web 页面请求的整个流程,绘制流程图(nginx 处理的 11 个过程)
3、学习 http 协议中的字段及含义
4、学习 http 请求方法以及返回状态码的类型和含义
扩展学习:思考这个过程中都会涉及哪些安全问题,常规的网站架构(waf、cdn 等设备部署在什么地方)
参考深入分析Java Web技术内幕读书笔记(二)浅析DNS域名解析过程
Nginx处理http请求的11个阶段
计算机网络应用层
DNS安全威胁及未来发展趋势的研究
报告0x01理解域名解析的整个过程大致流程图
第一步:检查浏览器...
安恒月赛-4web
暂时就web,最近实在没太大精力
0x01pop构造
12345678910111213141516171819202122232425262728293031323334353637<?phpshow_source("2_payload.php");class A{ public $username; public $password; function __construct(){ $this->username = null; $this->password...
基本要求数据库基础之数据库相关注入语句的收集和学习1、收集网络上各种 sql 注入时使用的 payload 并理解其适用的环境(检测注入、利用注入)
2、记录 sqlmap 的检测和利用过程中使用的 payload(也算一种 payload 收集方式)
3、理解以上涉及的 sql 语句的意思,其中会涉及不同的数据库、不同注入场景,可以将学习的过程和收集的方式进行整理形成报告,关于 payload 的理解,其中会涉及之前学习的基础。
扩展学习:理解 sqlmap 自带 tamper 的原理,这里通常包含很多数据库的特性,从而实现 payload 变形啥的,用来绕过一些简单的安全检测
注入代...