饺子龙

摘要： 前面讲了基本的jsp编程，这部分还是很基础的，整体把Java代码嵌入hmtl的行为和PHP比较类似，接下来就要介绍JAVA比较独有的部分了——JavaBean、spring框架、MVC模式、servlet等东西，听起来可能不太好理解，我刚学的时候也是一脸懵，下面我就将按照我理解时候的思路，以一个形象 阅读全文

摘要： 前言：信息搜集往往是进行ctf做题和渗透测试的第一个部分，就好比做题首先要审题一样，下面我将以一个初学者的视角讲讲该如何使用F12外的基本方法和工具对一个网站进行基本由浅入深的信息收集 （一）网站外围信息的获取 1-1-通过搜索引擎进行信息获取 1.site 在特定网站或域中搜索 例: site:t 阅读全文

摘要： 先从简单的开始 ezupload 题目都把解题方法拍脸上了，随便上网找一个php一句话木马上传后拿webshell软件（我用的是蚁剑antsword）脸上就可以翻服务器了，最后在usr找到flag，比较搞笑的是我第一次出了点问题还以为要提权，经典把题目做难 ezcmd 同样是几乎送分题，跟一轮一样直 阅读全文

摘要： 怎么还得学英语啊QAQ parameter：参数 numeric value：数值 injectable:可注射的 injection：注射，注入 DMBS：关系型数据库 heuristic：启发式的 clause：分句 fliter：过滤器 Generic inline queries：通用内联查 阅读全文

摘要： BUU SQL COURSE 1 一道很入门的的SQL手工注入，所用到的知识点也就只有union和group_concat联合注入和输出，带给我的主要收获是解读了题解代码后初步理解了查数据库名->表名->列名—>具体元素的三板斧，和具体查询原理 0 union select database(),g 阅读全文

摘要： 之所以把这个题单拎出来写一个wp，是因为虽然这道题放到了misc分类，但我感觉web方面考察得也挺多的，做题的过程版也颇为曲折hhh，就把自己绕圈子的过程完整记录一下 首先来看看题面 一：发现存在SQL注入痕迹，但找不到分析方向 题目附件下载下来是一份py代码和log的日志文件文件，先大概看了下，p 阅读全文

摘要： 首先来看题目 先不鸟提示，进去页面逛逛，F12一下，看到如下内容 回头来看提示，robots.txt是网页用来告知爬虫允许和禁止访问文件的君子协议，由题我们决定先打开/robots.txt查看一下爬虫被禁止访问哪些文件，其中说不定会有线索 如果对robots.txt还不了解的可以看看这里 在网站地址 阅读全文