Sentry_fei

[置顶] web刷题总结（未完待续.......）

摘要： # 总结 ## 一、HTTP类 ### 1. Referer > HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer， > > 告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。 ### 2. X-Forwarde 阅读全文

posted @ 2021-10-02 09:04 Sentry_fei 阅读(190) 评论(0) 推荐(0)

2023年7月14日

网安面试题整理

摘要： # 什么是XSS，有几种类型，如何防范？ > XSS概念： > > 攻击者在网页中嵌入客户端脚本（JavaScript），当用户使用浏览器加载被嵌入恶意代码的网页时，用户的浏览器就会执行该恶意代码。 > > XSS弹窗方式： > > ``` > alert () > confirm () > pro 阅读全文

posted @ 2023-07-14 12:37 Sentry_fei 阅读(152) 评论(0) 推荐(0)

2022年7月2日

PHP反序列化+MD5碰撞

摘要： PHP反序列化+MD5碰撞源码： <?php error_reporting(0); highlight_file(__FILE__); class Backdoor { public $x; public $y; public function __invoke(){ if( is_string 阅读全文

posted @ 2022-07-02 15:47 Sentry_fei 阅读(500) 评论(0) 推荐(0)

2022年3月26日

[2022DASCTF]ezpop

摘要： ezpop 打开环境，直接获得源码： <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v 阅读全文

posted @ 2022-03-26 18:10 Sentry_fei 阅读(172) 评论(0) 推荐(0)

2022年3月19日

web安全知识预备

摘要： web安全知识预备一、前置技能 1. 操作系统 Windows（了解DOS） Linux（重点学习对象） macOS（很少遇到，非重点，了解其文件系统即可） 2. 数据库 SQL语言基础 3. HTTP协议 HTTP工作原理 HTTP请求方法 HTTP状态码 HTTP请求格式附：https:// 阅读全文

posted @ 2022-03-19 10:13 Sentry_fei 阅读(85) 评论(0) 推荐(0)

2022年1月21日

[WUSTCTF2020]颜值成绩查询

摘要： [WUSTCTF2020]颜值成绩查询先看一下环境，发现两个warning，和一个输入框，网页源码中没有有用的注释。随便输入两个数提交测试，发现功能就是输入一个学号，然后返回对应的成绩，就是一个简单的查询操作。当输入的学号不存在时，只会返回“student number not exists. 阅读全文

posted @ 2022-01-21 16:33 Sentry_fei 阅读(686) 评论(0) 推荐(0)

2021年12月10日

[网鼎杯 2020 朱雀组]Nmap

摘要： [网鼎杯 2020 朱雀组]Nmap 打开环境这题是和nmap有关的，nmap这款工具是用来扫描网络的，一般会拿来扫目标主机的端口或操作系统之类的，之前有用过，他有很多的命令可以使用，但之前没有刻意去研究。估计这题的后台就是用了一条简单的拼接语句，类似于："nmap".$cmd，之类的。先抓个阅读全文

posted @ 2021-12-10 11:47 Sentry_fei 阅读(1313) 评论(0) 推荐(0)

2021年11月28日

[极客大挑战 2019]FinalSQL

摘要： [极客大挑战 2019]FinalSQL 一道SQL注入题，是之前做的版本的进阶题，同样可以输入用户名和密码，在这里一番测试后没有找到可利用的地方注意点转移到上面的神秘代码点击1后，发现跳转到了search.php页面，id值为1 继续测试这个地方是否存在注入，结果发现他有过滤，过滤了空格、星号阅读全文

posted @ 2021-11-28 12:02 Sentry_fei 阅读(867) 评论(0) 推荐(0)

python-requests模块学习

摘要： python-requests模块学习 1. 安装及导入模块 pip install requests import requests 2. 发送请求各类请求方法 r = requests.get('https://www.baidu.com') #GET请求 r = requests.post( 阅读全文

posted @ 2021-11-28 10:18 Sentry_fei 阅读(54) 评论(0) 推荐(0)

2021年11月20日

[CISCN2019 华东南赛区]Web11

摘要： [CISCN2019 华东南赛区]Web11 打开环境，没看见什么输入框，但一眼就看到了XFF，然后右上角还有一个IP地址和上次做的拼多多拿flag应该差不多，使用XFF就能绕过IP检测，先抓包。 IP可以随便改了，但好像没啥用，然后在页面底部发现一行字：Build With Smarty ! 然阅读全文

posted @ 2021-11-20 08:26 Sentry_fei 阅读(353) 评论(0) 推荐(0)

2021年11月19日

[安洵杯 2019]easy_serialize_php

摘要： [安洵杯 2019]easy_serialize_php 这题有点难度，记录一下环境源码： <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','f 阅读全文

posted @ 2021-11-19 10:48 Sentry_fei 阅读(52) 评论(0) 推荐(0)

公告