会员
众包
新闻
博问
闪存
赞助商
HarmonyOS
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
会员中心
简洁模式
...
退出登录
注册
登录
KAKSKY
多看,多学,多写
首页
新随笔
联系
订阅
管理
1
2
3
4
5
···
9
下一页
2024年4月12日
ARL 灯塔
摘要: 安装 Docker 安装 灯塔安装 cd /opt/ sudo mkdir docker_arl wget -O docker_arl/docker.zip https://github.com/TophantTechnology/ARL/releases/download/v2.6.1/docke
阅读全文
posted @ 2024-04-12 23:21 KAKSKY
阅读(792)
评论(0)
推荐(0)
2024年2月29日
Alibaba Nacos 控制台默认弱口令
摘要: 漏洞描述 Alibaba Nacos 控制台存在默认弱口令 nacos/nacos,可登录后台查看敏感信息 影响范围 Alibaba Nacos 漏洞复现 发送如下请求: 返回200说明成功登录 脚本复现 python3 poc.py https://nacos.taget.com/ #!usr/b
阅读全文
posted @ 2024-02-29 20:16 KAKSKY
阅读(974)
评论(0)
推荐(0)
2023年11月23日
框架安全
摘要: 常见框架: Spring 框架 Struts2 框架 ThinkPHP 框架 Shiro 框架 Spring 框架 框架特征 1.ico图标是一个小绿叶 2.报错页面的大标题是Whitelabel Error Page 3.X-Application-Context中会出现spring-boot字样
阅读全文
posted @ 2023-11-23 21:53 KAKSKY
阅读(20)
评论(0)
推荐(0)
2023年8月30日
ctfshow-warmup
摘要: ``` 可能的值:PATHINFO_DIRNAME - 只返回 dirnamePATHINFO_BASENAME - 只返回 basenamePATHINFO_EXTENSION - 只返回 extension| 官方wp: GET提交: ``` http://0fdf6601-a970-4a27-
阅读全文
posted @ 2023-08-30 10:41 KAKSKY
阅读(18)
评论(0)
推荐(0)
ctfshow-sql注入
摘要: SQL注入流程 判断注入点: ``` or 1=1--+ 'or 1=1--+ "or 1=1--+ )or 1=1--+ ')or 1=1--+ ")or 1=1--+ "))or 1=1--+ ``` 判断列数: ``` 1' order by 1 --+ 1' order by 2 --+ 1
阅读全文
posted @ 2023-08-30 10:40 KAKSKY
阅读(55)
评论(0)
推荐(0)
ctfshow-php特性
摘要: # 关于intval() ## web89 ``` ?num[]=0x123 ``` Hint 通过数组绕过 ## web90 ``` ?num=0x117c ?num=010574 ``` ``` PHP intval() 函数 int intval ( mixed $var [, int $ba
阅读全文
posted @ 2023-08-30 10:40 KAKSKY
阅读(43)
评论(0)
推荐(0)
ctfshow-CTF知识问答
摘要: sql注入题! 注入位置是在登陆的 姓名处注入! 题目答案:竟然不是做对题目然后出flag! ``` 1.CTF(Capture The Flag)起源于以下哪项赛事? A A.DEFCON CTF B.CJB CTF C.XCTF D.S3C CTF 2.CTF不包含以下哪种⽐赛模式? D A.解
阅读全文
posted @ 2023-08-30 10:40 KAKSKY
阅读(125)
评论(0)
推荐(0)
ctfshow-文件上传
摘要: # 短标签绕过 ``` 1. 常规写法 不需要开启参数设置 2. 等价于 注: 利用短标签写法可以绕过一些对php字符的过滤 Windows环境中短标签默认是打开的,Linux下 默认是关闭的。 控制参数: php支持短标签,需要我们把short_open_tag 设置为On. 3. 注:需要配置p
阅读全文
posted @ 2023-08-30 10:40 KAKSKY
阅读(221)
评论(0)
推荐(0)
ctfshow-文件包含
摘要: # 基础知识: 文件包含分为本地包含和远程包含。 最基础的检测方式: 本地包含:?file=../../../etc/passwd 远程包含:?file=http://www.baidu.com 这两种是最基础的检测方式,用以判断是否存在文件包含漏洞。检测完成后在使用对应的利用方式进行利用。 常见的
阅读全文
posted @ 2023-08-30 10:39 KAKSKY
阅读(923)
评论(0)
推荐(0)
ctfshow-吃瓜杯
摘要: # ATTup  文件上传的点!没想法... # Misc游戏签到 ctfshow{White_give
阅读全文
posted @ 2023-08-30 10:39 KAKSKY
阅读(176)
评论(0)
推荐(0)
1
2
3
4
5
···
9
下一页
公告