随笔档案「2021年1月」 - AW_SOLE

buuctf web xss之光

摘要：前言最后正在学习了解有关xss的知识。所以拿一些题来学习。从实战中学习嘛。 OK，话不多说，整活！！！实战今天我们用的是buu里的一道题）——XSS之光。听着名字还蛮好听的。那我们先打开靶场。页面显示的就只是gungungun，真让人火大。参考了一下大佬的文章工具的安装首先还需要两个工具阅读全文

posted @ 2021-01-31 17:30 AW_SOLE 阅读(813) 评论(0) 推荐(0)

反射型-XSS

摘要：什么是XSS漏洞 XSS是web安全中最为常见的漏洞，XSS全称是Cross Site Script。所以XSS又叫CSS（Cross Site Script），跨站脚本攻击 XSS攻击通常是指恶意攻击者往Web页面里插入恶意JS代码，当用户浏览该页之时，嵌入其中Web里面的JS代码会被执行，从而达阅读全文

posted @ 2021-01-31 15:13 AW_SOLE 阅读(2594) 评论(0) 推荐(0)

buuctf-web [网鼎杯 2018]Fakebook

摘要：[网鼎杯 2018]Fakebook 解法一：首先打开靶场，看这样子像是sql注入。那我们先注册个号吧。然后登录上去。我们试着用sql注入搞一下。 ?no=1 and 1=1 //无报错 ?no=1 and 1=2 //报错经过判断，这个是数字注入。然后再测试列，在列5时报错，看来有4列 ? 阅读全文

posted @ 2021-01-31 13:44 AW_SOLE 阅读(888) 评论(1) 推荐(0)

AWCTF-web(命令执行)

摘要：前言最近我们的CTF平台上了一些新的web题，关于命令执行。em.....本人对于命令执行也只能是初步了解阶段。正好可以趁此再对于知识点进行补充。话不多说，整活！！！ web1 首先我们要打开，靶场。里面是一段php代码 <?php error_reporting(0); if(isset($_ 阅读全文

posted @ 2021-01-30 21:11 AW_SOLE 阅读(655) 评论(0) 推荐(0)

bugku-web14

摘要：打开靶场，单击一下进入到这里面这或许是文件包含常用的漏洞：php://filter/read=convert.base64-encode/resource=index.php 显示出了很长的一串的编码： 77u/PGh0bWw+DQogICAgPHRpdGxlPkJ1Z2t1LXdlYjwvd 阅读全文

posted @ 2021-01-22 17:48 AW_SOLE 阅读(406) 评论(0) 推荐(0)

bugku-web13

摘要：我们来到这一题。题目提示要我查看源代码。那好我们查看一下源代码吧。 var p1 = '%66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%53%75%62%6d%69%74%28%29%7b%76%61%72%20%61%3d%64%6f%63%75%6d%65 阅读全文

posted @ 2021-01-22 17:26 AW_SOLE 阅读(369) 评论(0) 推荐(0)

bugku-web40

摘要：我们打开靶场啥都没有。那先用dirsearch扫一下有好多./.git/目录。或许是/.git/目录泄露。而题目提示需要linux环境。那就拿出kali来吧首先我们需要使用 wget -r http://ip_address/.git 递归下载 .git 目录文件，得到一个文件夹然后进入到阅读全文

posted @ 2021-01-22 16:59 AW_SOLE 阅读(305) 评论(0) 推荐(1)

buuctf-BabyUpload

摘要：前言之前整理了一些upload-lab的知识，为了学到更多有关文件上传的知识，想着透过题目练习一下。话不多说，整活~ 解题我们先打开此题的链接。还是我们需要上传文件此题的Content-Type为image/jpeg 而且我们需要上传一个.htaccess文件。内容如下： <FilesMat 阅读全文

posted @ 2021-01-22 16:15 AW_SOLE 阅读(406) 评论(0) 推荐(0)

buuctf-Ez_bypass

摘要：前言还是觉得自己练习得不够，太菜了。希望透过这道题再了解一点绕过的知识。话不多说，整活！！解题我们先打开这个靶场，好家伙，这怎么看，先看看源码吧。哎哟，不错哦，源码里能清清楚楚的看到。我把代码扔下面。 <?php include 'flag.php'; $flag='MRCTF{xxxxxx 阅读全文

posted @ 2021-01-22 15:43 AW_SOLE 阅读(239) 评论(0) 推荐(0)

buuctf-你传你🐎呢

摘要：你传你🐎呢解析首先我们先打开靶机，需要我们利用文件上传漏洞。看来这个是对于.htaccess文件的利用。对于.htaccess文件呢之前有说过，不再这儿做过多解释，大家可以进此链接那好，现在我们开始解题首先我们需要上传一个.htaccess，文件内容如下 <FilesMatch "1.pn 阅读全文

posted @ 2021-01-22 14:57 AW_SOLE 阅读(939) 评论(0) 推荐(0)

upload-labs解析

摘要：前言之前在CTFHub做了一些关于文件上传的题目，了解了一些关于文件上传的知识，觉得还蛮好玩儿的。那想进一步的深入了解一下文件上传，所以在自己所搭建的靶场upload-labs，通过这个再来学习一下文件上传漏洞。好，话不多说。开始整活。 Pass-01 JS绕过来到第一部分，首先来审查一下代码。阅读全文

posted @ 2021-01-22 13:55 AW_SOLE 阅读(289) 评论(0) 推荐(0)

CTFHb-文件上传解析

摘要：做了一下REC，那我们来整一下文件上传漏洞，一点一点来吧 1.无验证首先我们先开一下靶场无限制，这就说明上传什么文件都是可以的并没有什么限制，那我们就可以上传一个一句话木马，然后使用蚁剑来连接一下。成功上传蚁剑连接成功，从中可以找到flag 2.前端验证现在是前端验证，这次上传php文件就阅读全文

posted @ 2021-01-21 12:20 AW_SOLE 阅读(727) 评论(0) 推荐(0)

CTFHub RCE解析

摘要：昨天大致学了一下命令执行，那我们今天开始实战。在CTFHu里练习一下 1.eval执行我们先做一下eval执行吧。看见上面是一段php代码，如下： <?php if (isset($_REQUEST['cmd'])) { eval($_REQUEST["cmd"]); } else { highl 阅读全文

posted @ 2021-01-20 17:31 AW_SOLE 阅读(706) 评论(0) 推荐(0)

命令执行＆＆代码执行

摘要：命令执行漏洞形成原理是指应用在调用一些执行系统命令的函数时，像php函数。但是并没有在输入口做输入处理、或对危险函数并禁用，从而导致用户能从中利用这些函数将恶意的代码拼接起来到应用中执行，从而造成命令执行攻击。代码执行漏洞形成原理是说应用程序在调用一些能够将字符串转换为代码的的函数时，没见有考虑用阅读全文

posted @ 2021-01-19 17:00 AW_SOLE 阅读(486) 评论(0) 推荐(0)

Python语言的特点

摘要：Python语言主要有以下几大特点： 1、简单易学：Python是一种代表简单主义思想的编程语言，阅读一个良好的Python程序的时候就犹如在读英语一样。Python最大的优势就是伪代码的本质，在开发的时候主要以解决问题为主要，并不是搞明白语言的本身。 2、面向对象：Python既是面向对象的编程，阅读全文

posted @ 2021-01-08 23:36 AW_SOLE 阅读(4037) 评论(0) 推荐(0)

Sole

我自是年少，韶华倾负

01 2021 档案

公告