随笔分类 - 网络安全(纯爱好)
不定期更新网络安全杂烩,包括CTF、漏洞原理复现、靶机、安全工具等
摘要:知识点 base32 看到编码内容,只有大写和数字,根据Base64和Base32 区别: base64中包含大写字母(A-Z)、小写字母(a-z)、数字0——9以及+/; base32中只有大写字母(A-Z)和数字234567 联合查询创建虚拟表 查询数据不存在时,联合查询会构造一个虚拟的数据在数
阅读全文
摘要:杂言 我从来不知道自己有那么热爱学习(大哭),摸鱼了一个学期,最后一个月终于把期末给应付过去了,接下来就是把之前应付考试的时间补回来刷题和实习准备了,这次是5月网鼎青龙组的一道,我现在才拿来复现。。。。 解题 开幕雷击 <?php include("flag.php"); highlight_fil
阅读全文
摘要:文件上传漏洞 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。常见场景是web服务器允许用户上传图片或者普通文本文件保存,而用户绕过上传机制上传恶意代码并执行从而控制服务器。显然这种漏洞是getshell最快最直接的方法之一,需要说明的是上传文件操作本身
阅读全文
摘要:杂言 一直计划学PHP代码审计但一直不在状态,翻了一下王叹之师傅的博客发现人家是体系化的学习,对比起来我实在是太浮躁了,回想起之前的面试,很多问题都是似懂非懂的,很多东西都太零碎,是要好好静下心来学东西了,要把这个PHP代码审计好好学,这里我是参照着教程和吴翰清的《代码审计 企业级Web代码安全架构
阅读全文
摘要:Man-in-the-Middle Attack (HTTP)中间人攻击 中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中
阅读全文
摘要:写在前面 又是填坑的一篇姿势总结文,先介绍floor()、ExtractValue()、UpdateXml(),剩下的报错我目前还没遇到过(可能是太菜)可以用sqli-libs Less5来演示 姿势汇总 https://www.cnblogs.com/wocalieshenmegui/p/5917
阅读全文
摘要:写在前边 又是没有梦想的一天。。。这里介绍一下无列名注入,要求mysql >= 5.7 CTF题 https://www.cnblogs.com/Lee-404/p/12830910.html information_schema 在 mysql => 5 的版本中存在库information_sc
阅读全文
浙公网安备 33010602011771号