i春秋

摘要： 作者：agetflag 原文来自：ISG 2018 Web Writeup ISG 2018 Web Writeup CTF萌新，所以写的比较基础，请大佬们勿喷，比赛本身的Web题也不难 calc 首先看到题目后，在输入框中测试了一下，发现可以被执行 首先猜想是不是ssti，模板注入，但是平常遇到的 阅读全文

摘要： 前言 其实这个厂商之前就挖过他们家漏洞，提交了不少漏洞给他们，如今都修复了，最近闲来无事，又对他们演示站点进行了一次“深入”研究。 0x01 演示站点入手 打开他们演示站点，测试了一下之前的漏洞，空账号空密码登录已经被修复了，尝试弱口令登录，123456登录进去了。 然后对之前存在漏洞的上传点再次尝 阅读全文

摘要： 一、背景 笔者最近在慕课录制了一套XSS跨站漏洞 加强Web安全视频教程，课程当中有讲到XSS的挖掘方式，所以在录制课程之前需要做大量实践案例，最近视频已经录制完成，准备将这些XSS漏洞的挖掘过程记录下来，方便自己也方便他人。 在本篇文章当中会一permeate生态测试系统为例，笔者此前写过一篇文章 阅读全文

摘要： 想必打过CTF的小伙伴多多少少都触过Android逆向，所以斗哥将给大家整一期关于Android逆向的静态分析与动态分析。本期先带来Android逆向的静态分析，包括逆向工具使用、文件说明、例题解析等。Android逆向就是反编译的过程，因为看不懂Android正向编译后的结果所以CTF中静态分析的 阅读全文

摘要： 前言 作者：米斯特安全攻防实验室-Vulkey_Chen 博客：gh0st.cn 这是一个鸡肋性质的研究，也许有些标题党，请见谅～ 本文启发于一些讨论，和自己脑子里冒出来的想法。 组合拳搭配 Self型XSS 已知Self型XSS漏洞是这样的： 相信看见图片基本上已经知道这个漏洞形成的原因了，该功能 阅读全文

摘要： 前言： Natas是一个教授服务器端Web安全基础知识的 wargame，通过在每一关寻找Web安全漏洞，来获取通往下一关的秘钥，适合新手入门Web安全。 传送门~ 接下来给大家分享一下，1-20题的WriteUp。Natas0: 提示密码就在本页，右键查看源码，注释中发现key Key：gtVrD 阅读全文

摘要： 0x01 前言 已经有一周没发表文章了，一个朋友叫我研究maccms的代码审计，碰到这个注入的漏洞挺有趣的，就在此写一篇分析文。 0x02 环境 Web： phpstudySystem： Windows 10 X64Browser： Firefox QuantumPython version ： 2 阅读全文

摘要： 作者：Tangerine@SAINTSEC 本系列的最后一篇 感谢各位看客的支持 感谢原作者的付出一直以来都有读者向笔者咨询教程系列问题，奈何该系列并非笔者所写[笔者仅为代发]且笔者功底薄弱，故无法解答，望见谅如有关于该系列教程的疑问建议联系论坛的原作者ID：Tangerine 0x00 got表、 阅读全文

摘要： 作者：jasonx 原文来自：记一次博客被日的分析过程 前言： 人在江湖漂，哪能不挨刀。小弟我的博客在21号被日了，想不到从来都是我日人，如今却惨被人日（悲伤脸） 其实挨刀不可怕，可怕的是他砍到了我这块铁板上，滋出了一溜的火花。所谓知己知彼方能百战不殆，必须知道对方是如何拿下我网站的，如果不分析出原 阅读全文

摘要： 作者：仙果 原文来自：省钱版—-查找 IoT 设备TTL线序 省钱版 查找 IoT 设备TTL线序__未完待续 缘由 在IoT固件调试分析的过程中，建议首先在IoT设备的板子上焊接调试线，这是能够提高效率的一步。如果你的能力够高，直接使用热风枪拆下 Flash 存储芯片读取或者写入固件，这是最好不过 阅读全文