0kai0

摘要： 文章目录 python基本语法编码变量（标识符）命名行和缩进多行语句输入输出**字符串格式化** 数据结构与运算符列表增加、删除元素 字典增加、删除元素 元组集合运算 条件控制与循环条件控制循环 python进阶函数函数定义 文件操作正则表达式match方法search方法compile函数find 阅读全文

摘要： 文章目录 身份认证安全绕过身份认证的几种方法暴力破解撞库 cookie和session类加密测试 数据篡改业务授权安全任意密码修改用户凭证暴力破解跳过验证步骤 接口重放攻击 身份认证安全 绕过身份认证的几种方法 暴力破解 测试方法∶在没有验证码限制或者一次验证码可以多次使用的地方，可以分为以下几种情 阅读全文

摘要： jsp中间件 tomcat漏洞利用 tomcat服务器是一个免费的开放源代码的web应用服务器，通常用于jsp cve-2017-12615了解： 漏洞成因：tomcat运行在windows主机上，且启用了http put请求方法，可通过构造的攻击请求向服务器上传包含任意代码的jsp文件，造成任意代 阅读全文

摘要： 文章目录 SSRFSSRF漏洞危害SSRF漏洞防御及修复SSRF相关危险函数 ssrf漏洞利用redis配合gopher协议进行ssrfredis常见的ssrf攻击方式大概有如下几种： SSRF 服务器请求伪造 可以看到，SSRF是基于一些其他漏洞，比如XXE，文件包含等，XXE参数访问其他网站的实 阅读全文

摘要： XXE全称为XML外部实体注入、 XML XML是可扩展标识语言的简写，和HTML的形式很像，后来用于应用程序之间数据传输的常用格式 HTML旨在显示信息，XML旨在传输信息 XML实体 根据实体来源可定义为内部实体和外部实体。XML定义了两种类型的ENTITY，一种在XML文档中使用，另一种作为参 阅读全文

摘要： 文章目录 CSRF漏洞危害CSRF漏洞防御CSRF和XSS的区别 利用方式同源策略：JSONP跨域 CSRF漏洞危害 攻击者盗用了用户的身份后，以用户的名义发送恶意请求。CSRF的恶意操作∶以用户名义发送邮件，发消息，盗取账号，购买商品，虚拟货币转账等等·造成的问题包括:个人隐私泄露以及财产安全问题 阅读全文

摘要： 打开题目f12有提示，打开后跳转到bugku首页，直接view-source查看源码 view-source:http://114.67.175.224:11378/1p.html php源码在-- --之间，前面可以看到一个javascript的bugku.com的跳转。 源码被base64+ur 阅读全文

摘要： msf进阶 在得到目标机shell后的进阶使用 键盘监听 Keyscan_strat:开启键盘记录功能 Keyscan_dump:显示捕捉到的键盘记录信息 Keyscan_stop:停止键盘记录 获取密码 在mimikatz模块，能获取目标主机的哈希和明文密码，常用命令： 以下均在msfconsol 阅读全文

摘要： Msf基础 Metasploit-framework（用ruby写的）基础： MSF拥有世界上最大的渗透测试攻击数据库 Vulnerability：漏洞统称 expoit：攻击代码或者程序 Payload:完成实际攻击功能的代码 module：组成完整系统的基本构造块，每个模块执行特定任务 运行ms 阅读全文

摘要： 文章目录 第二届信安大挑战wpwebreal_checkinupload&includecheckin_httpeasy_rceeasy_md5easy_unserapple官网loginlogin2.0EDG给爷冲shoppingshop2.0upload_twice_imgnull_rcenor 阅读全文