CTF知识点汇总,零基础入门到精通,收藏这篇就够了

CTF从入门到精通必备指南
原创 于 2025-09-18 08:53:34 发布 · 1.1k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

这是一个CTF优秀资料大集合(共包含13个部分,这次先发布5个),如果你有更好的资料,请在文末留言!

1. 综合性资源

CTF Wiki (中文) - 涵盖CTF各个方向的知识点,持续更新中。网址:https://ctf-wiki.org

CTFHub - 提供题库、靶场以及学习资源。网址:https://www.ctfhub.com/

0CTF团队博客 - 由知名战队0ops维护。网址:https://blog.knownsec.com/

Sec-News - 信息安全和CTF相关资讯汇总。网址:https://www.sec-union.com/

i春秋社区 - 国内知名信息安全社区,有丰富的CTF学习资源。网址:https://bbs.ichunqiu.com/

安全脉搏 - 信息安全热点与CTF资料分享。网址:https://www.secpulse.com/

CNVD漏洞平台 - 挖掘漏洞相关的学习辅助资源。网址:https://www.cnvd.org.cn/

52PoJie - 破解与CTF社区资源。网址:https://www.52pojie.cn/

Vulhub - 专注漏洞复现和安全学习环境。网址:https://vulhub.org/

2. CTF在线平台与题库

CTFTime - 全球CTF比赛时间表与积分榜。网址:https://ctftime.org/

XCTF - 国内知名CTF联赛平台。网址:https://adworld.xctf.org.cn/home/index

Hack The Box (HTB) - 网络安全挑战平台。网址:https://www.hackthebox.com/

TryHackMe - 以实践为导向的在线CTF平台。网址:https://tryhackme.com/

Pwnable.kr - 专注于PWN方向的题目平台。网址:http://pwnable.kr/

LeetCode题目CTF合集 - 结合算法与CTF的资源。网址:https://leetcode.cn/

Root-Me - 多语言支持的CTF平台。网址:https://www.root-me.org/

国内CTF Hub - 汇总题目和比赛信息。网址:https://adworld.xctf.org.cn/contest/list

漏洞盒子靶场 - 国内漏洞挖掘平台。网址:https://sandbox.bugbank.cn/

3. PWN方向

PWN个人知乎专栏 - 详细PWN入门指南。网址:https://www.zhihu.com/column/binary-salted-fish

Pwnable.tw - 专注PWN题目平台。网址:https://pwnable.tw/

IOCCC - 以编程挑战练习内存相关技巧。网址:https://www.ioccc.org/

Binary Exploitation教程 - 学习ROP的在线教程。网址:https://ropemporium.com/

《漏洞战争》系列 - PWN方向知识讲解。网址:https://www.zhihu.com/column/c_1324092354792001536

gdb-peda - gdb的调试增强工具。网址:https://github.com/longld/peda

pwntools官方文档 - PWN开发工具文档。网址:https://docs.pwntools.com/en/stable/

glibc漏洞分析 - glibc相关工具与教程。网址:https://github.com/niklasb/libc-database

PWN题型分类分析 - PWN类型题目分类讲解。网址:https://github.com/Naetw/CTF-pwn-tips

4. 逆向工程 (RE)

RE专题 (CTF Wiki) - 逆向工程方向。网址:https://ctf-wiki.org/reverse/

IDA Pro逆向实战 - 经典逆向工具IDA教程。网址:https://zhuanlan.zhihu.com/p/474207234

Radare2教程 - 开源逆向工具Radare2指南。网址:https://book.rada.re/

OllyDbg使用指南 - OllyDbg逆向调试工具入门。网址:https://zhuanlan.zhihu.com/ollydbg

x64dbg官方文档 - x64dbg入门与进阶。网址:https://x64dbg.com/

APK逆向教程 - 针对Android的逆向工程工具Smali。网址:https://github.com/JesusFreke/smali

Binwalk - 用于提取固件内容的工具。网址:https://github.com/ReFirmLabs/binwalk

GEF调试框架 - GDB增强调试框架。网址:https://github.com/hugsy/gef

Cutter教程 - Cutter逆向分析工具使用教程。网址:https://cutter.re/

Crackmes - 提供逆向工程挑战题目。网址:https://crackmes.one/

NewStar CTF - 西安工业大学、中国矿业大学、中国人民公安大学、东北大学秦皇岛分校、海南大学、南京理工大学、广东工业大学、江南大学....... 网址:http://ns.openctf.net

科大CTF - 中国科技大学 网址:https://hack.lug.ustc.edu.cn/

上海交大CTF - 上海交通大学 网址:https://play.0ops.sjtu.cn/

4. 逆向工程 (RE)

RE专题 (CTF Wiki) - 逆向工程方向。网址:https://ctf-wiki.org/reverse/

IDA Pro逆向实战 - 经典逆向工具IDA教程。网址:https://zhuanlan.zhihu.com/p/474207234

Radare2教程 - 开源逆向工具Radare2指南。网址:https://book.rada.re/

OllyDbg使用指南 - OllyDbg逆向调试工具入门。网址:https://zhuanlan.zhihu.com/ollydbg

x64dbg官方文档 - x64dbg入门与进阶。网址:https://x64dbg.com/

APK逆向教程 - 针对Android的逆向工程工具Smali。网址:https://github.com/JesusFreke/smali

Binwalk - 用于提取固件内容的工具。网址:https://github.com/ReFirmLabs/binwalk

GEF调试框架 - GDB增强调试框架。网址:https://github.com/hugsy/gef

Cutter教程 - Cutter逆向分析工具使用教程。网址:https://cutter.re/

Crackmes - 提供逆向工程挑战题目。网址:https://crackmes.one/

5. Web安全

Web安全入门教程 - 入门WEB安全方向。网址:https://zhuanlan.zhihu.com/p/623726100

DVWA靶场 - 漏洞练习的靶场。网址:https://dvwa.co.uk/

SQL注入系列教程 - SQL注入原理与防护。网址:https://www.w3schools.com/sql/sql_injection.asp

Burp Suite官方文档 - Web调试工具Burp教程。网址:https://portswigger.net/burp

WebGoat靶场 - OWASP维护的靶场。网址:https://owasp.org/www-project-webgoat/

XSS挑战靶场 - 学习跨站脚本攻击。网址:https://xss-game.appspot.com/

HackBar插件教程 - 浏览器漏洞调试插件介绍。网址:https://www.tutorialspoint.com/

OWASP Top 10中文解读 - OWASP Top 10系列漏洞分析。网址:https://owasp.org/

W3AF工具文档 - Web应用攻击与审计框架。网址:https://github.com/andresriancho/w3af

6. 加密与编码 (Crypto)

Crypto专题 (CTF Wiki) - 常见加密题目详解。网址:https://ctf-wiki.org/crypto/

RSA加密原理 - RSA解密与加密题目练习。网址:https://cryptobook.nakov.com/digital-signatures/rsa-sign-verify-examples

CTF Crypto入门指南 - 加密方向题目整理。网址:https://github.com/ctfs/write-ups

Hash解密工具集 - 在线哈希破解工具。网址:https://www.hashkiller.co.uk/

Matasano密码挑战 - 经典加密题目合集。网址:https://cryptopals.com/

Stegsolve工具 - 隐写术相关工具包。网址:https://github.com/zardus/ctf-tools

信息隐藏入门 - 隐写基本概念。网址:https://cooc.cqmu.edu.cn/Course/KnowledgePoint/16093.aspx

GCHQ挑战 - 英国官方密码学挑战。网址:https://www.gchq.gov.uk/

Crypto练习赛 - 以Crypto为核心的练习平台。网址:https://cryptohack.org/

CyberChef工具 - 加密与编码辅助工具。网址:https://gchq.github.io/CyberChef/

7. 综合工具

CTF工具包合集 - 常用CTF工具集合。网址:https://github.com/zardus/ctf-tools

Binwalk - 固件分析。网址:https://github.com/ReFirmLabs/binwalk

Aircrack-ng - 无线网络破解工具。网址:https://www.aircrack-ng.org/

Wireshark - 数据包分析工具。网址:https://www.wireshark.org/

Volatility - 内存取证分析工具。网址:https://www.volatilityfoundation.org/

Burp Suite - Web漏洞测试与调试工具。网址:https://portswigger.net/burp

Metasploit - 渗透测试框架,用于漏洞利用和测试。网址:https://www.metasploit.com/

Kali Linux - 专业安全测试和CTF环境操作系统。网址:https://www.kali.org/

John the Ripper - 密码破解工具。网址:https://www.openwall.com/john/

Stegsolve - 图片隐写分析工具。网址:https://github.com/eugenekolo/sec-tools/tree/master/stego/stegsolve

IDA Pro - 逆向工程专业工具。网址:https://www.hex-rays.com/products/ida/

Ghidra - 开源逆向工程平台。网址:https://ghidra-sre.org/

pwntools - PWN方向工具库。网址:https://docs.pwntools.com/en/stable/

RsaCtfTool - RSA解密工具。网址:https://github.com/Ganapati/RsaCtfTool

Hashcat - 高性能哈希破解工具。网址:https://hashcat.net/hashcat/

Fuzzing工具 AFL - 漏洞挖掘辅助工具。网址:https://lcamtuf.coredump.cx/afl/

Radare2 - 开源的二进制分析工具。网址:https://rada.re/

Jadx - Android APK反编译工具。网址:https://github.com/skylot/jadx

CyberChef - 加密和数据处理工具。网址:https://gchq.github.io/CyberChef/

SQLMap - SQL注入测试工具。网址:https://sqlmap.org/

8. CTF Writeups

CTFTime Writeups - 全球CTF比赛题解。网址:https://ctftime.org/writeups

SecWiki Writeups - 国内比赛题解集合。网址:https://www.sec-wiki.com/

XCTF Writeups - XCTF比赛官方题解。网址:https://github.com/xctf2021

Awesome CTF Writeups - 全球比赛题解开源库。网址:https://github.com/ctfs/write-ups

HITCON题解 - 台湾知名CTF比赛题解。网址:https://hitcon.org/

Defcon CTF Archives - DEFCON历史题解。网址:https://defcon.org/html/links/dc-ctf.html

0ops战队题解 - 国内强队题解。网址:https://github.com/0ops/0ops.github.io

T00ls Writeups - 综合比赛题解平台。网址:https://www.t00ls.com/CTF-articles.html

9. 电子书籍和教材

《CTF竞赛入门教程》 - 国内出版的CTF教程。网址:https://book.douban.com/subject/30412748/

《The Art of Memory Forensics》 - 内存分析经典书籍。网址:https://www.amazon.com/

《逆向工程核心原理》 - 深入逆向分析。网址:https://book.douban.com/subject/25956836/

《Hacking: The Art of Exploitation》 - 漏洞利用艺术。网址:https://book.douban.com/subject/1953716/

《Modern Binary Exploitation》 - PWN入门经典。网址:http://security.cs.rpi.edu/courses/binexp-spring2015/

《Web Hacking 101》 - Web安全入门书籍。网址:https://leanpub.com/web-hacking-101

《黑客大曝光》 - 综合安全知识入门书籍。网址:https://book.douban.com/subject/11597050/

《CTF Field Guide》 - 初学者指南。网址:https://trailofbits.github.io/ctf/

《密码学理论与实践》 - 加密学权威书籍。网址:https://book.douban.com/subject/1328131/

《Python安全编程》 - 使用Python开发安全工具。网址:https://book.douban.com/subject/26290471/

10. CTF工具扩展

Excalibur - 自动化CTF解题工具。网址:https://github.com/abhi-r3v0/Excalibur

Z3 SMT Solver - 密码学和算法题目的辅助求解工具。网址:https://github.com/Z3Prover/z3

Nmap - 网络扫描工具,用于侦查CTF中的网络服务。网址:https://nmap.org/

DirBuster - 用于目录和文件爆破的工具。网址:https://sourceforge.net/projects/dirbuster/

FOCA - 搜集敏感信息的工具。网址:https://elevenpaths.com/

Binja (Binary Ninja) - 专业的逆向分析平台。网址:https://binary.ninja/

Java Decompiler (JD-GUI) - Java逆向工具。网址:https://github.com/java-decompiler/jd-gui

StegHide - 隐写分析工具。网址:http://steghide.sourceforge.net/

ImageMagick - 图像处理工具,常用于隐写题目。网址:https://imagemagick.org/

Yara - 用于恶意代码检测和分析。网址:https://virustotal.github.io/yara/

GDB Enhanced Features (GEF) - 调试工具的增强插件。网址:https://github.com/hugsy/gef

Hydra - 密码破解工具。网址:https://github.com/vanhauser-thc/thc-hydra

Ropper - 用于ROP链生成和分析的工具。网址:https://github.com/sashs/Ropper

Hex Editor (HxD) - 文件二进制编辑工具。网址:https://mh-nexus.de/en/hxd/

Pwninit - 自动生成PWN题目环境的工具。网址:https://github.com/io12/pwninit

11. 线上靶场

PicoCTF - 专为初学者设计的CTF平台。网址:https://picoctf.org/

CTFLearn - 友好的CTF练习平台。网址:https://ctflearn.com/

VulnStack - CTF靶场集合。网址:https://vulnstack.com/

Hack The Box Academy - 在线课程与靶场。网址:https://academy.hackthebox.com/

CFT Playground - 适合快速练习的在线平台。网址:https://play.ctf.training/

Web Security Academy - Web安全学习资源。网址:https://portswigger.net/web-security

RingZer0 Team - 持续更新的挑战题目库。网址:https://ringzer0ctf.com/

OverTheWire - 系统安全题目集合。网址:https://overthewire.org/

W3Challs - 涵盖Web安全和漏洞利用。网址:https://w3challs.com/

Exploit Exercises - 漏洞利用与渗透测试靶场。网址:https://exploit-exercises.com/

12. 逆向与PWN深度资源

Binary Exploitation University - 系统性的PWN学习资源。网址:https://bruce30262.github.io/Binary-Exploit-University/

PWN挑战与技巧 (知乎) - 高级PWN题目解析。网址:https://zhuanlan.zhihu.com/p/332308624

IO Smashing (经典文章) - 栈溢出原理讲解。网址:https://insecure.org/stf/smashstack.html

ROPgadget工具 - ROP链生成工具。网址:https://github.com/JonathanSalwan/ROPgadget

Heap Exploitation - 堆利用技术教程。网址:https://heap-exploitation.dhavalkapil.com/

pwning.kr学习系列 - 提供逐步的PWN入门教程。网址:https://pwnable.kr/

glibc内部机制分析 - 专注于glibc漏洞解析。网址:https://sploitfun.wordpress.com/

逆向工程工具链指南 - 推荐书单与工具。网址:https://github.com/onethawt/reverseengineering-readinglist

IDA调试脚本 (GitHub) - IDA的Python脚本集合。网址:https://github.com/idapython

Angr文档 - 动态符号执行框架。网址:https://docs.angr.io/

13. Web方向高级资源

Hackvertor - Web安全中的编码工具。网址:https://github.com/hackvertor/hackvertor

HTTP Smuggling - HTTP请求走私技术分析。网址:https://portswigger.net/research/http-desync-attacks

Burp Suite插件集合 - 提升Web测试能力。网址:https://portswigger.net/bappstore

XSS Playground - XSS实战靶场。网址:https://github.com/mandatoryprogrammer/xss-game

CSRF防御指南 - 跨站请求伪造知识。网址:https://owasp.org/www-community/attacks/csrf

SQL注入技巧总结 - SQL注入案例解析。网址:https://sqlzoo.net/wiki/SQL_Injection

Web Cache Deception - Web缓存攻击研究。网址:https://webcache.deception.net/

DOM-Based XSS教程 - 基于DOM的XSS漏洞研究。网址:https://github.com/wisec/domxsswiki

FuzzDB - Web漏洞模糊测试字典。网址:https://github.com/fuzzdb-project/fuzzdb

14. 密码学与隐写进阶

AES加密破解实战 - 深入理解AES加密机制。网址:https://kavaliro.com/wp-content/uploads/2014/03/AES.pdf

隐写分析技巧(社群同仁) - 隐写术题目案例分析。网址:https://www.zhihu.com/people/ailx10

RSA爆破工具与技巧 - 常用RSA漏洞工具。网址:https://github.com/rsa-tools/RsaCtfTool

加密挑战赛:Cryptohack - 密码学题目训练平台。网址:https://cryptohack.org/

古典密码学解析 - 替换与置换密码的案例。网址:https://crypto.interactive-maths.com/

黑客/网络安全学习路线

对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。

大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」「收藏」「在看」「赞」**

网络安全/渗透测试法律法规必知必会****

今天大白就帮想学黑客/网络安全技术的朋友们入门必须先了解法律法律。

网络安全/渗透测试linux入门必知必会

网络安全/渗透测试****计算机网络入门必知必会****

网络安全/渗透测试入门之HTML入门必知必会

网络安全/渗透测试入门之Javascript入门必知必会

网络安全/渗透测试入门之Shell入门必知必会

【网络安全零基础入门必知必会】Shell编程基础入门(非常详细)零基础入门到精通,收藏这一篇就够了(第七章)

网络安全/渗透测试入门之PHP入门必知必会

网络安全/渗透测试入门之MySQL入门必知必会

****网络安全/渗透测试入门之Python入门必知必会

****网络安全/渗透测试入门之SQL注入入门必知必会

****网络安全/渗透测试入门之XSS攻击入门必知必会

****网络安全/渗透测试入门文件上传攻击与防御入门必知必会

****网络安全/渗透测试入门CSRF渗透与防御必知必会

****网络安全/渗透测试入门SSRF渗透与防御必知必会

****网络安全/渗透测试入门XXE渗透与防御必知必会

****网络安全/渗透测试入门远程代码执行渗透与防御必知必会

****网络安全/渗透测试入门反序列化渗透与防御必知必会

网络安全/渗透测试**入门逻辑漏洞必知必会**

网络安全/渗透测试入门暴力猜解与防御必知必会

****网络安全/渗透测试入门掌握Redis未授权访问漏洞必知必会

网络安全/渗透测试入门掌握**ARP渗透与防御关必知必会**

网络安全/渗透测试入门掌握系统权限提升渗透与防御关****必知必会

网络安全/渗透测试入门掌握Dos与DDos渗透与防御相关****必知必会

网络安全/渗透测试入门掌握无线网络安全渗透与防御相****必知必会

网络安全/渗透测试入门掌握木马免杀问题与防御********必知必会

网络安全/渗透测试入门掌握Vulnhub靶场实战********必知必会

网络安全/渗透测试入门掌握社会工程学必知必会

网络安全/渗透测试入门掌握********渗透测试工具使用******必知必会**

觉得有用的话,希望粉丝朋友帮大白点个**「分享」「收藏」「在看」「赞」**

黑客/网络安全学习包

资料目录

  1. 成长路线图&学习规划

  2. 配套视频教程

  3. SRC&黑客文籍

  4. 护网行动资料

  5. 黑客必读书单

  6. 面试题合集

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

1.成长路线图&学习规划

要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

2.视频教程

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!

4.护网行动资料

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止和谐,可以扫描获取~

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

FastAdmin后台开发框架 lang 任意文件读取漏洞复现
0xSec
06-17 4968
FastAdmin后台开发框架 /index/ajax/lang 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
【建议收藏CTF网络安全夺旗赛刷题指南(非常详细)零基础入门精通收藏这一
abao6690的博客
07-27 2862
【建议收藏CTF网络安全夺旗赛刷题指南(非常详细)零基础入门精通收藏这一
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
热门推荐
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
【漏洞预警】FastAdmin框架任意文件读取漏洞
晚风不及你
06-11 4244
FastAdmin是一个基于ThinkPHP和Bootstrap的快速开发的后台管理系统框架。FastAdmin框架存在文件读取漏洞漏洞,攻击者利用此漏洞可以获取系统敏感信息。
【漏洞复现】FastAdmin——lang——任意文件读取漏洞
LongL_GuYu的博客
06-27 8430
FastAdmin是一个免费开源的后台管理框架,其lang存在任意文件读取漏洞,未授权攻击者可以利用其读取网站配置文件等敏感信息。
抓 Windows 密码,这 7 种技术用!
bigbangbangbang1的博客
12-09 1491
内网渗透中,获取到 Windows 系统权限之后,抓取本地哈希是必不可少的操作,今天分享一款工具,集成了 7 种转储 LSASS 内存的方法,工具地址:运行如图:未提供任何参数运行程序,会要求你输入所要指定的方法,参数为 1-7,功能分别对应:使用解除挂钩技术转储 lsass 内存以注入修改后的 mimikatz 二进制文件。使用解除挂钩技术转储 lsass 内存以使用 MDWD 的直接系统调用注入二进制文件。使用简单的 MiniDumpWriteDump API 转储 lsass 内存。
最新RAG知识库问答的应用(非常详细)从零基础入门精通收藏
最新发布
A1_3_9_7的博客
06-05 1225
在信息爆炸的时代,企业面临着如何有效获取和利用知识的问题。基于RAG(Retrieval-Augmented Generation)知识库问答的应用,正是解决这一挑战的重要手段。RAG结合了信息检索和文本生成的优势,能在海量数据中快速提取相关信息,并生成高质量的回答。本文将探讨RAG知识库问答的业务方案及其在垂直应用领域的潜力。
精选资源
CTF-Misc实战技巧:从入门精通的完整指南
06-03
综合性强:相比Web/Pwn等方向,更考验综合能力 分值分布:通常占比赛总分的20%-30%,是重要的得分点 1.2 必备工具与环境配置 推荐工具链配置: 推荐使用Kali Linux或Parrot OS作为基础环境,配置建议: 分配至少8GB...
CTF指南--隐写术总结(非常详细)从零基础入门精通,看完这一了_ctf 图片隐写光学成像
2401_86044342的博客
08-27 2738
binwalkBinwalk是一个固件的分析工具,多用于逆向工程、取证、隐写分析。更多…$ binwalk firmware.bin //最简单的操作$ binwalk --enable-plugin=zlib firmware.bin //有些签名无法识别,利用zlib插件扫描zlib压缩包可识别$ binwalk -y filesystem firmware.bin //指定字符串“filesystem”搜索(正则),-Y 输出结果只包含文本字符串。
IT类兼职平台汇总(含网络安全方向)零基础入门精通收藏这一
abao6690的博客
07-30 1700
IT类兼职平台汇总(含网络安全方向)零基础入门精通收藏这一
《Web前端开发从入门精通》.pdf
10-03
《Web前端开发从入门精通》.pdf
HTML5教程从入门精通及网站源码、HTML5游戏、WEB前端开发技术视频教程
09-30
HTML5教程从入门精通及网站源码、HTML5游戏、WEB前端开发技术视频教程。适合新手0基础开始
fastAdmin lang接口任意文件读取漏洞(内含XrayPoC)
WuYSec的博客
06-18 2310
fastAdmin是一款基于ThinkPHP和Bootstrap开发的开源后台管理框架,旨在帮助开发者快速构建高效、灵活的后台管理系统。fastAdmin存在任意文件读取漏洞,可直接读取数据库配置文件。
FastAdmin 任意文件读取漏洞复现
网安小白
09-04 2863
FastAdmin 后台框架开源且可以免费商用,一键生成 CRUD, FastAdmin 是一款基于 ThinkPHP 和 Bootstrap 的极速后台开发框架,基于Auth验证的权限管理系统,一键生成 CRUD,自动生成控制器、模型、视图、JS、语言包、菜单、回收站等。(Fast Admin 极速 后台 框架)Fastadmin框架 lang接口处存在任意文件读取漏洞,恶意攻击者可能利用该漏洞读取服务器上的敏感文件,例如客户记录、财务数据或源代码,导致数据泄露。
【奇淫技巧】mysql注入小技巧(非常详细)零基础入门精通收藏这一
A1_3_9_7的博客
03-17 1078
举例:通过布尔盲注的方法注当前登录用户名的第一位(这里是"r",ascii编码后是114),通过截取user字段第一位与爆破位置的数字进行比较,如果爆破位置数字小于114,就会触发溢出数据库报错,如果>=114就会回显正常,所以这里可以判断当前登录用户名的第一位ascii编码后是114,是"r"。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
fastadmin框架低版本漏洞,任意文件读取漏洞(CVE-2024-7928),/index/ajax/lang?lang 修复办法
loricy7的专栏
11-20 2438
通过/index/ajax/lang?lang=en,可以获取到一些敏感文件的信息。关于这个漏洞,是由于旧版本对获取语言标识。官方已于2022年05月30日发布。所以fastadmin框架版本低于。的过滤不严可能导致安全问题。版本,并修复了这个漏洞。对应的数组中添加以下代码。版本,就需要进行修复。方法三:更新框架版本,
Fastadmin框架 lang任意文件读取漏洞攻略(CVE-2024-7928)
2301_78554096的博客
03-25 1038
Fastadmin框架lang任意文件读取漏洞攻略
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值