follow my dream

follow my dream

follow my dream

安恒月赛20200725
webinclude https://www.gem-love.com/ctf/2161.html 对此题感到无语,真一点提示都没有吗 Orz 12345678910111213141516171819202122# coding=UTF-8import time import requestsimport base64url = "http://183.129.189.60:10009/image.php?t={}&f=ZGF0YTovLy4uLy4uLy4uLy4uLy4uLy4uL2ZsYWc=".format(int(time.t...
php_curl与docker_remote_api
docker remote api 官方文档🔗:https://docs.docker.com/engine/api/可以通过 docker version查看 Engine: API version个人当前 服务器和客户端都是1.4版本需注意版本不同,手册也不同,基本上一个小版本一个手册我宣布curl就是我大哥 👍 search the containers1curl http://192.168.21.131:2375/containers/json create one container create.json https://...
zh3r0ctf_and_hsctf
HSCTF 全称是 high school catch the flag webDebt Simulator这题不知道要做什么,当然也不知道该怎么做 问问其他人有没有想法 nice 做出来了 1<!doctype html><html lang="en"><head><meta charset="utf-8"/><meta name="viewport" content="width=device-width,initial-scale=1"/>&...
buuctf_0x02
[toc] 0x01 周web[极客大挑战 2019]Secret File一路跟着提示,跟到secr3t.php 12345678910111213141516<html> <title>secret</title> <meta charset="UTF-8"><?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(strstr($file,"../&q...
VulnStack_0x01
[toc] VulnStack 0x01靶场复现 - ATT&CK 1下载链接: 漏洞详情 (qiyuanxuetang.net),喵的还是CS快乐 描述红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实APT实战环境,从实战中成长。关于环境可以模拟出各种各样实战路线,目前给出作者实战的一套攻击实战路线如下,虚拟机所有统一密码:hongrisec@2019: 一、环境搭建1.环境搭建测试2.信息收集 二、漏洞利用3.漏洞搜索与利用4.后台Getshel...
sqli代码编写与防护
要求 0x011、编写常规回显注入的代码,在之前的搭建的环境中测试是否正常 2、编写报错注入的代码,并做相应的服务器配置来满足条件,并测试代码是否正常 3、编写盲注的代码,在之前的搭建的环境中测试是否正常 4、编写宽子节注入的代码,并做相应的服务器配置来满足条件,并测试代码是否正常 注意事项:环境可以是虚拟机的快照、也可以是 docker 环境,具体用什么可以自选,重点是学习造成这几类注入的原因;注入漏洞通常会出现在多个场景,比如:注册、登录、查询、搜索、留言等,所以写那些脚本的时候可以自选场景,不限于举例的场景;有些注入环境与服务器配置相关,需要大家配置相应的漏洞环境来结合自己编写的脚...
upload-labs
使用环境环境的下载与搭建 https://github.com/c0ny1/upload-labs 推荐使用docker配环境太烦了 知识点与参考 项目作者画的图 推荐阅读: https://blog.csdn.net/wn314/article/details/77074477 https://blog.csdn.net/wn314/article/details/77388337 https://blog.csdn.net/wn314/article/details/77388289 upload-labs0x01客户端检验 1234567891011121314151617f...
页面解析的流程学习
要求任务标题: web 安全之页面解析的流程学习 1、理解域名解析的整个过程 2、理解 web 页面请求的整个流程,绘制流程图(nginx 处理的 11 个过程) 3、学习 http 协议中的字段及含义 4、学习 http 请求方法以及返回状态码的类型和含义 扩展学习:思考这个过程中都会涉及哪些安全问题,常规的网站架构(waf、cdn 等设备部署在什么地方) 参考深入分析Java Web技术内幕读书笔记(二)浅析DNS域名解析过程 Nginx处理http请求的11个阶段 计算机网络应用层 DNS安全威胁及未来发展趋势的研究 报告0x01理解域名解析的整个过程大致流程图 第一步:检查浏览器...
2020-4中旬比赛与刷题
安恒月赛-4web 暂时就web,最近实在没太大精力 0x01pop构造 12345678910111213141516171819202122232425262728293031323334353637<?phpshow_source("2_payload.php");class A{ public $username; public $password; function __construct(){ $this->username = null; $this->password...
数据库相关注入语句的收集和学习
基本要求数据库基础之数据库相关注入语句的收集和学习1、收集网络上各种 sql 注入时使用的 payload 并理解其适用的环境(检测注入、利用注入) 2、记录 sqlmap 的检测和利用过程中使用的 payload(也算一种 payload 收集方式) 3、理解以上涉及的 sql 语句的意思,其中会涉及不同的数据库、不同注入场景,可以将学习的过程和收集的方式进行整理形成报告,关于 payload 的理解,其中会涉及之前学习的基础。 扩展学习:理解 sqlmap 自带 tamper 的原理,这里通常包含很多数据库的特性,从而实现 payload 变形啥的,用来绕过一些简单的安全检测 注入代...