上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 51 下一页
2022年2月9日
CTFHub_2020-BJDCTF-Web-Cookie is so subtle!(ssti模板注入、cookie处注入)
摘要: 环境打开后,有三个页面,分别是index.php、flag.php、hint.php。 首先,hint.php的源码里有个提示如下,说明本题的关键在cookie(当然从题目中也可看出) <!-- Why not take a closer look at cookies? --> 然后,flag.p 阅读全文
posted @ 2022-02-09 09:11 zhengna 阅读(462) 评论(0) 推荐(0)
2022年1月18日
29:WEB漏洞-CSRF及SSRF漏洞案例讲解
摘要: CSRF原理图解 知识点 CSRF解释、原理: CSRF(Cross-site request forgery)跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击。 原理详解: 攻击者盗用了你的身份信息,以你的名 阅读全文
posted @ 2022-01-18 09:05 zhengna 阅读(1521) 评论(0) 推荐(0)
30:WEB漏洞-RCE代码及命令执行漏洞全解
摘要: 思维导图 在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。 代码执行演示 test.php脚本代码 eval( 阅读全文
posted @ 2022-01-18 09:05 zhengna 阅读(2783) 评论(0) 推荐(0)
2022年1月17日
84:CTF夺旗-PHP弱类型&异或取反&序列化&RCE
摘要: 思维导图 本课重点: 案例1:PHP-相关总结知识点-后期复现 案例2:PHP-弱类型对比绕过测试-常考点 案例3:PHP-正则preg_match绕过-常考点 案例4:PHP-命令执行RCE变异绕过-常考点 案例5:PHP-反序列化考题分析构造复现-常考点 案例1:PHP-相关总结知识点-后期复现 阅读全文
posted @ 2022-01-17 17:38 zhengna 阅读(1529) 评论(0) 推荐(2)
85:CTF夺旗-JAVA考点反编译&XXE&反序列化
摘要: 思维导图 Java常考点及出题思路 考点技术:xxe,spel表达式,反序列化,文件安全,最新框架插件漏洞等 设法间接给出源码或相关配置提示文件,间接性源码或直接源码体现等形式 CTF中常见Web源码泄露总结(参考:https://www.cnblogs.com/xishaonian/p/76281 阅读全文
posted @ 2022-01-17 17:38 zhengna 阅读(4017) 评论(0) 推荐(1)
83:CTF夺旗-Python考点SSTI&反序列化&字符串
摘要: 思维导图 必备知识点: 在大量的比赛真题复现中,将涉及到渗透测试的题库进行了语言区分,主要以 Python, PHP,Java为主,本章节将各个语言的常考点进行真题复现讲解。 CTF各大题型简介 MISC(安全杂项):全称Miscellaneous。题目涉及流量分析、电子取证、人肉搜索、数据分析、大 阅读全文
posted @ 2022-01-17 17:36 zhengna 阅读(1653) 评论(0) 推荐(0)
82:红蓝对抗-蓝队att&ck&IDS&蜜罐&威胁情报
摘要: 必备知识点: 在每年的安全活动中,红蓝队的职责,其中大部分强调学习红队技术,那么蓝队技术又有哪些呢?简要来说蓝队就是防守,涉及到应急、溯源、反制、情报等综合性认知和操作能力知识点。掌握红队攻击技术的前提下,蓝队技术能提升一个档次哦。 本课知识点: 认识ATT&CK框架技术 认识对抗的蜜罐技术的本质 阅读全文
posted @ 2022-01-17 17:29 zhengna 阅读(1363) 评论(0) 推荐(0)
81:红蓝对抗-AWD监控&不死马&垃圾包&资源库
摘要: 本课重点: 案例1:防守-流量监控-实时获取访问数据包流量 案例2:攻击-权限维持-不死脚本后门生成及查杀 案例3:其他-恶意操作-搅屎棍发包回首掏共权限 案例4:准备-漏洞资源-漏洞资料库及脚本工具库 案例1:防守-流量监控-实时获取访问数据包流量 利用 WEB 访问监控配合文件监控能实现 WEB 阅读全文
posted @ 2022-01-17 17:26 zhengna 阅读(1285) 评论(0) 推荐(0)
80:红蓝对抗-AWD模式&准备&攻防&监控&批量
摘要: 思维导图 AWD 常见比赛规则说明: Attack With Defence,简而言之就是你既是一个 hacker,又是一个 manager。 比赛形式:一般就是一个 ssh 对应一个 web 服务,然后 flag 五分钟一轮,各队一般都有自己的初始分数,flag 被拿会被拿走 flag 的队伍均分 阅读全文
posted @ 2022-01-17 17:19 zhengna 阅读(3579) 评论(0) 推荐(0)
39:WEB漏洞-XXE&XML之利用检测绕过全解
摘要: 思维导图 知识点 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。 XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞,XX 阅读全文
posted @ 2022-01-17 17:08 zhengna 阅读(4802) 评论(0) 推荐(0)
上一页 1 ··· 3 4 5 6 7 8 9 10 11 ··· 51 下一页