靶场通关攻略详解!
关注
分享
扫一扫
文章平均质量分 73
11
Myc.localhost
坚持原创,专注信息安全技术和经验的分享,共同和十万初学者入门信息安全行业。
展开
-
【CTFHub】文件上传漏洞详解!
又称一句话木马。WebShell就是以网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。 WebShell根据不同的语言分为:ASP木马、PHP木马、JSP木马(上传解析类型取决于网站服务端编写语言类),该类木马利用脚本语言中 可以执行系统命令、代码命令的函数 进行文件读取、命令执行、代码执行等功能。一旦将Webshell上传到服务器被脚本引擎解析,攻击者就可以实现控制获取到网站服务器的权限。 文件原创 2024-07-28 21:40:32 · 1168 阅读 · 0 评论 -
【文件解析漏洞】实战详解!
Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。在jpg后面加上两个空格.php再将hex的第二个空格改为%00。原创 2024-07-30 17:36:58 · 1060 阅读 · 0 评论 -
【XSS漏洞】XSS攻击平台-Flash攻击钓鱼
XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混 淆,故将跨站脚本攻击缩写为 XSS,XSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;同样的⽅法----ResourceHacker打开刚刚打包好的⽂件,点击Icon Group⽂件夹中的⽂。更新⽅式----》解压并更新⽂件⽽覆盖⽅式----覆盖所有⽂件!原创 2024-07-23 20:47:48 · 885 阅读 · 1 评论 -
【vulfocus】/hms-cve_2022_25491:latest
具体fllag信息没搞出来...............原创 2024-07-24 22:46:23 · 610 阅读 · 0 评论 -
UPLOAD-LABS靶场[超详细通关教程,通关攻略]
Upload-labs是一个使用PHP语言编写,专门用于渗透测试和CTF中遇到的各种文件上传漏洞的靶场。目前一共20关,每个关都包含着不同上传方式。文件上传漏洞:用户可以越过其本身权限,向服务器上传可执行的动态脚本文件,例如木马、病毒、恶意脚本或者WebShell等。文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞的利用无限扩大。原创 2024-07-27 19:13:37 · 7578 阅读 · 0 评论 -
[CTFHub技能树]SSRF漏洞关卡详解!
CTFHUB技能树是一个全面、详细且易于理解的网络安全学习资源,旨在帮助学习者系统地掌握网络安全领域的各种技能。它涵盖了从基础到进阶的多个方面,包括但不限于Web安全、数据库安全、网络协议等。原创 2024-07-24 21:11:14 · 1118 阅读 · 1 评论 -
Apache2 Ubuntu Default Page 漏洞渗透
Apache2 Ubuntu Default Page 是一个包含xxe漏洞的页面,如何找到和利用xxe漏洞,并找到flag呢?靶机地址,可正常访问在kali中扫描靶机开放端口等信息nmap -PS 端口号。原创 2024-07-25 20:42:30 · 1286 阅读 · 0 评论 -
【XSS漏洞】XSS攻击平台-窃取Cookie
XSS漏洞基础:XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是⼀种在 web 应⽤中的计算机安全漏洞,它允许恶意web⽤户将代码植⼊到 web ⽹站⾥⾯,供给其它⽤户访问,当⽤户访问到有恶意代码的⽹⻚就会产⽣ xss 攻击;漏洞概念:⽬标未对⽤户从前端功能点输⼊的数据与输出的内容未进⾏处理或者处理不当,从⽽导致恶意的JS代码被执⾏造成窃取⽤户信息劫持WEB⾏为危害的。原创 2024-07-23 20:30:10 · 871 阅读 · 0 评论 -
[SPON IP]网络对讲广播系统的命令执行漏洞实验
世邦通信 SPON IP网络对讲广播系统采用领先的IPAudio技术,将音频信号以数据包形式在局域网和广域网上进行传送,是一套纯数字传输系统。原创 2024-07-31 19:08:54 · 515 阅读 · 0 评论 -
sqli-labs-master靶场[超详细通关教程,通关攻略~!]
sqli-labs-master[超详细通关教程,通关攻略~!](附解题思路及各注入方法解析)-------持续更新关卡通关教程!!!!原创 2024-07-22 19:30:02 · 3151 阅读 · 0 评论 -
【Log4j2】代码执行漏洞复现!
【代码】【Log4j2】代码执行漏洞复现!原创 2024-07-31 21:49:03 · 199 阅读 · 0 评论 -
pikachu漏洞练习平台【SQL-Inject数字型注入】
pikachu漏洞练习平台【SQL-Inject数字型注入】原创 2024-07-23 00:30:00 · 587 阅读 · 0 评论 -
[pikachu靶场]xxe漏洞详解!!!
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxm|默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)、内网扫描等危害。原创 2024-07-25 19:17:23 · 708 阅读 · 0 评论 -
【商品支付】漏洞详解!
订单金额的验证:价格未保存在数据库中未校验商品价格与数据库中是否匹配不安全的传输: 订单相关信息未进行加密传输(话说你加密的地方一定是重要地方,你不加密,你就是有病,哈哈哈)验证规则不完整: 订单号与用户未进行绑定。危害 顾名思义了,修改商品的价格、修改订单号、修改订单的数量、修改支付状态值..原创 2024-08-02 16:15:09 · 431 阅读 · 0 评论 -
【xss-labs-master】靶场通关详解!-----持续更新
【代码】【xss-labs-master】靶场通关详解!-----持续更新(目前1-10关)。原创 2024-08-02 16:32:57 · 917 阅读 · 0 评论