上一页 1 2 3 4 5 6 7 8 ··· 51 下一页
2023年1月4日
如何使用Burp Suite测试WebSocket
摘要: BurpSuite具有测试WebSocket的能力,可以实时拦截和修改WebSocket消息。遗憾的是,Burp缺乏针对WebSockets的Repeater、Scanner或Intruder功能。但在新版BurpSuite中,增加了针对WebSockets的Repeater功能。 1、在Burp中 阅读全文
posted @ 2023-01-04 16:13 zhengna 阅读(4880) 评论(0) 推荐(0)
2022年9月9日
2022年书单
摘要: 2022年书单: 01.白先勇《白先勇说红楼梦》(2022.01.25读完) 02.丹尼尔·内贝特(英)编著 谷大春译《思维无所限制:少年读霍金》(2022.02.10读完) 03.安迪·威尔(美)《火星救援》(2022.03.09读完) 04.黄仁宇《万历十五年》(2022.03.21读完) 05 阅读全文
posted @ 2022-09-09 16:07 zhengna 阅读(269) 评论(0) 推荐(1)
2022年4月8日
CTFHub_N1Book-XSS闯关(XSS)
摘要: N1Book-第二章Web进阶-XSS的魔力-XSS闯关 第一关 简单的反射xss 前端代码 <div<span>welcome xss</span></div> payload /level1?username=xss<script>alert(1)</script> /level1?userna 阅读全文
posted @ 2022-04-08 14:20 zhengna 阅读(805) 评论(0) 推荐(0)
2022年3月24日
CTFHub_N1Book-SQL注入-2(报错注入)
摘要: N1Book-第一章Web入门-CTF中的SQL注入-SQL注入-2 进入场景,显示一个登录框 查看网页源代码,找到注释中的提示:在url中加入?tips=1出现报错信息 <!-- 如果觉得太难了,可以在url后加入?tips=1 开启mysql错误提示,使用burp发包就可以看到啦--> 可知本题 阅读全文
posted @ 2022-03-24 08:34 zhengna 阅读(1704) 评论(0) 推荐(0)
CTFHub_N1Book-SQL注入-1(union注入)
摘要: N1Book-第一章Web入门-CTF中的SQL注入-SQL注入-1 writeup: 1.确认是字符型注入 1' #无回显 1' --+ #有回显 2.order by确认共有3列 1' order by 3 --+ #有回显 1' order by 3 --+ #无回显 2.union注入,确认 阅读全文
posted @ 2022-03-24 08:33 zhengna 阅读(1074) 评论(0) 推荐(0)
2022年3月18日
CTFHub_浙江省大学生网络与信息安全竞赛-决赛-2019-Web-逆转思维(data协议、php://filter协议读文件、反序列化)
摘要: 进入场景,显示源代码 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r') "welcome 阅读全文
posted @ 2022-03-18 14:53 zhengna 阅读(394) 评论(0) 推荐(0)
BUUCTF-[BUUCTF 2018]Online Tool(单引号逃逸、nmap写文件)
摘要: 知识点 escapeshellarg 函数的用法 escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数 功能 :escapeshellarg() 将给字符串增加一个单引号并且能引用或者转码任何已经存在的单引号,这样以确保能够直接将一个字符串传入 shell 函数,sh 阅读全文
posted @ 2022-03-18 14:53 zhengna 阅读(579) 评论(0) 推荐(0)
CTFHub_2021-第五空间智能安全大赛-Web-pklovecloud(反序列化)
摘要: 打开场景,显示源码 <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron 阅读全文
posted @ 2022-03-18 14:52 zhengna 阅读(1099) 评论(1) 推荐(0)
CTFHub_2020-网鼎杯-朱雀组-Web-nmap(单引号逃逸、nmap写文件)
摘要: 进入场景,显示如下 F12发现注释中的提示 <!-- flag is in /flag --> 本题考察 单引号逃逸 和 nmap写文件,与[BUUCTF 2018]Online Tool类似 直接使用里面的paload 利用方式一 payload ' -iL /flag -oN flag.txt 阅读全文
posted @ 2022-03-18 14:51 zhengna 阅读(720) 评论(0) 推荐(0)
2022年3月11日
CTFHub_SUCTF-2019-Web-easysql(堆叠注入)
摘要: 打开靶场,显示如下 burp跑一遍sql关键字,以下响应长度是629的是本题过滤的字段 经过测试,发现未过滤堆叠注入 查看表名 1;show tables;# 方法一 看wp知道后端查询语句如下,这是一种非预期解的方法: $sql = "select ".$post['query']."||flag 阅读全文
posted @ 2022-03-11 14:41 zhengna 阅读(445) 评论(3) 推荐(0)
上一页 1 2 3 4 5 6 7 8 ··· 51 下一页