fupo1

摘要： 平台的搭建 记得用桥接模式 在ubuntu上创建'GZCTF'文件夹，包含这些文件 这个ip地址貌似不能直接ifconfig得到，我忘记是怎么找到的了，如果你们搭建过程中报错可以问问ai原因 appsettings.json { "AllowedHosts": "*", "ConnectionStr 阅读全文

摘要： 堆叠注入 简单来说，就是多个sql查询语句一起偷偷执行 工具 而sqlmap是一个很好的sql工具 sqlmap -u "http://example.com/vulnerable.php?id=1" --sql-query="SELECT version(); SELECT user();" 还有 阅读全文

摘要： 计算机体系专业术语 (ISA)指令集体系结构 描述计算机的功能，程序员看到的计算机的抽象视图，并定义了汇编语言和编程模型，但并没有考虑计算机的实现 微体系结构 描述一种ISA的实现方式，关注计算机的内部设计 系统体系结构 包括 处理器 存储器 总线外设在内的整个系统 计算机系统体系结构所涉及的内容 阅读全文

摘要： Level 1 file协议 payload:?wrappers=/flag Level 2 data协议 去包含data协议中的内容其实相当于进行了一次远程包含，所以data协议的利用条件需要 php.ini 中开启 allow_url_fopen 和 allow_url_include GET: 阅读全文

摘要： 命令注入 检查网页显示内容，可以直接看到源代码。大致意思是：检查用户输入的 GET 请求，判断用户是否输入了 ip 信息。如果输入了 ip 信息，则使用用户输入的这个 ip 数据执行一个 shell 命令 "ping -c 4" 。 输入 127.0.0.1;cat 104211044913917. 阅读全文

摘要： Ctfhub-SSRF部分做题记录 上传文件 提示：这次需要上传一个文件到flag.php了.祝你好运 进入flag.php 发现没有提交按钮 修改源代码，加个提交按钮 抓包 修改host为127.0.0.1:80，乱码改成1111(随便，只要不是乱码) PHPimport urllib.parse 阅读全文

摘要： 域名结构 主机名.次级域名.域名.根域名 host. sld .tld .root 几种常见的解析类型 A记录 CNAME txt记录 dig命令命令常见用法 dig，“domain information groper”的缩写 用于查询域名DNS信息 dig命令能够便捷地查询到指定域名所对应的DN 阅读全文

摘要： 栅栏密码 fg2ivyo}l{2s3_o@aw__rcl@-->flag{w22_is_v3ry_cool} https://tool.bugku.com/jiemi/ 所谓栅栏密码，就是把要加密的明文分成N个一组，然后把每组的第1个字连起来，形成一段无规律的话。 不过栅栏密码本身有一个潜规则，就是 阅读全文

摘要： 什么是XSS(跨站脚本攻击) SQL注入是服务端将用户输入的数据当成SQL代码去执行 XSS可以理解为服务端把用户输入的数据当成前端代码去执行 前端代码->主要是js代码 两个关键条件： 第一个是用户能够控制输入 第二个是原本程序要执行的代码，拼接了用户输入的数据 XSS主要拼接什么 SQL注入拼接 阅读全文

摘要： [SUCTF 2019]Upload Labs 2 源码 // admin.php <?php include 'config.php'; class Ad{ public $cmd; public $clazz; public $func1; public $func2; public $func 阅读全文