CTF
关注
分享
扫一扫
文章平均质量分 95
Sunny-Dog
最新内容移步yosheep.github.io,后续会对先前文章挑选进行翻新(回看以前写的太垃了)
展开
-
【CTF】CTFshow-SQL注入(持续更新)
CTFshow sql原创 2023-06-21 00:32:06 · 1001 阅读 · 1 评论 -
【CTF】SSRF服务器端请求伪造
从本题来看,他说他在baidu.com下放了一个flag.txt,但是试想一下,这个baidu.com是不可能为真正的百度的那个域名的,所以此处这个baidu.com应该为出题者所建的一个目录,所以就是ssrf读文件,我们就想到使用file协议来读取flag.txt这个文件。此处表示,截取所输入内容中的从第7位开始,长度为9的字符串,如果他的内容为baidu.com,那么程序也会die,而且我们所需要用的file://协议恰巧与http://协议长度相同,就很气人。原创 2023-04-02 15:21:08 · 2775 阅读 · 3 评论 -
【CTF】命令执行RCE
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;原创 2023-04-02 15:55:09 · 4310 阅读 · 2 评论 -
【CTF】文件上传(知识点+例题)(1)
有的站点会出现仅进行了前端校验的情况(一切在前端做的安全防护,都是耍流氓),由于前端页面的源码是我们可以随意更改的,因此可以通过找到进行过滤的指令,更改成我们想要的功能即可。假设接下来就可以上传一个名为1.png的木马文件,植入后门,将其上传后,该文件虽文件后缀名为png,但会被当作php类型的文件进行解析,其中的一句话木马也能够被正常执行。因此,通过使用.user.ini,我们可以任意指定包含一个文件,这个文件可以是我们自己上传的木马文件,从而通过该木马文件提供后门来获取当前服务器的webshell。原创 2023-03-23 00:20:36 · 7443 阅读 · 4 评论 -
【CTF】php反序列化(一文入门)
[CTF][保姆级]详析php反序列化漏洞,原理、函数、示例、例题,一篇文章入门php反序列化原创 2023-03-19 02:04:30 · 1144 阅读 · 8 评论