Dav-ove3

摘要： SSTI 面板注入！ 先补充一波基本知识！ //获取基本类 ''.__class__.__mro__[1] {}.__class__.__bases__[0] ().__class__.__bases__[0] [].__class__.__bases__[0] object //读文件 ().__ 阅读全文

摘要： XXE(XML External Entity Injection) 全称为 XML 外部实体注入。 web373 error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php:/ 阅读全文

摘要： Ctfer 从网上能找到很多资料，但都不是很好！找到了一份，所以前来记录一下，这是Ubuntu 20.04的系统！ 更新一下软件源和软件列表 sudo apt-get update sudo apt-get upgrade 安装docker curl -fsSL https://get.docker 阅读全文

摘要： XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能 阅读全文

摘要： web89 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); 阅读全文

摘要： web151(前端限制) 这里需要上传图片木马！所以我们需要先制作一张图片木马！ php的一句话木马： <?php @eval($_POST['pass']);?> asp的一句话是： <%eval request ("pass")%> aspx的一句话是： <%@ Page Language="J 阅读全文

摘要： BF means best friend, right? 这个先放上代码！ --[ >+<]> [-<+>]+[ >++<]>[-<+>]--[ >+<]> [-<+>]+[ >+++<]>++[-<+>]+[ >++<]>[-<+>]++[ >+<]>++[-<+>]--[ >+<]> [-<+> 阅读全文

摘要： 环境搭建！ 这次是有三台靶机，一个web服务器，和一个域成员，域控！域成员和域控是没有联网的，只有web服务器是连接着网络的！ 因此我们使用虚拟机进行构造出这样的环境！ 虚拟机统一密码：hongrisec@2019 然后将winsever和win2k3改密码为 hongrisec@2021 此时再更 阅读全文

摘要： 前言 首先要安装go语言！这个需要配置好，有点难配置！此时我们下载phuip-fpizdam这个工具！ web311 这里就要用到了phuip-fpizdam这个工具了！ 然后再用index.php?a的命令去执行！ web312(CVE-2018-19518) PHP 的imap_open函数中的 阅读全文

摘要： SSRF 其全称：Server—Side Request Forgery :服务器端请求伪造 是一种由攻击者构造形成的由 服务器端发起请求的一个安全漏洞。一般情况下，攻击的目是外网没有办法访问的内网。 很多WEb应用都其提供了从其他服务器上获取数据的功能，使用指定的url,web 应用可以获取图片， 阅读全文