- 博客(9)
- 收藏
- 关注
RSS订阅原创 打个靶机-Me-and-My-Girlfriend
这个网站并没有提供文件上传之类的交互点,只是很简单的一个网站,而我们通过这个网站的一些漏洞拿到了一些敏感的信息,必然怀疑他们在别的地方也有很大用处。首先整理思路,p22的ssh服务基本不考虑,最后实在没有出路了可以进行整理信息进行爆破尝试,所以路线很明确,直接进行。本靶机结束,本文章中提到的一个爆破工具 crackmapexec 非常常用且博大精深,建议学习一下,我可能会出专题。id=” 的字样,可以考虑一下简单的注入尝试。打开启动burpsuite,添加一条如图的替换规则,就可以进行简单、仿真的伪造。
2024-09-11 23:02:00
735
原创 arduino安全 bad-usb开发记录 第一天
其原理是将虚拟键盘的引导程序写入开发板,arduino的开发板是非常新手的开发板,使用起来简单,本人不太会嵌入式开发,所以直接从网上买了个已经写好引导程序的usb,30块,不贵,就当是简单体验一下嵌入式开发和一些特殊的安全技术吧。ardunio开发可以使用官方的ide,是开源免费的,也可以使用vscode上面的插件,我直接使用了官方的插件,你要是对这个开发感兴趣,要做一些非常复杂的项目建议使用vscode进行开发,但是环境之类的配置起来还是有点繁琐的。只能使用最简单最原始的反弹shell。
2024-09-11 22:33:11
454
1
原创 随便聊聊-代码审计
大学开学了,信息安全专业,已经咕咕咕到现在了,军训实在是太累,以后一定狠狠更新。首先,在代码审计之前,要聊聊如何才能“做到”代码审计呢?必须要知道源码。但是,你在打靶机或者真实安全测试的时候网上有很多直接的利用脚本,在此时代码审计肯定就没啥大用了,但是请看看这个脚本到底是啥意思,做了啥,最不济扔给gpt分析一下,不要直接用,要学习写脚本的逻辑。
2024-09-06 21:29:22
923
原创 打个靶机-driftingblues1
云笔记备份,说实话,我是真喜欢driftingblues系列的CTF风格,打这个就能感觉到一台好的靶机是什么样的,打下来就觉得好玩和意犹未尽。
2023-08-01 23:54:19
104
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人