点击上方“萝卜大杂烩”,选择“星标”公众号超级无敌干货,第一时间送达!!!今天从头开始做一个在线聊天网站,网上各种各样的聊天工具已经很多了,为啥还要做这么一个聊天工具呢,无他,兴趣耳!今天先完成第一部...
致命组合--利用IDOR实现CSRF攻击
声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。背景介绍:渗透目标为 HackerOne ...
【原创】CTFShow—F5杯(web篇)
eazy-unserialize <?php include "mysqlDb.class.php"; class ctfshow{ public $method; public $args; ...
CTFSHOW--代码审计篇
301index中包含了一个conn.php文件,它主要内容是对数据库的一个连接作用然后发现会重定向到login.php文件里面发现有一段html表单向logincheck.php提交数据跟踪到log...
【原创】记一次ctf实战——BDJCTF-2020-Web-easy_search
进去看看 这题太花哨了弱口令,sql无果后爆破一下子域名 这里提个醒原生的dirsearch或是御剑都没有index.php.swp这项检测这也是爆破无果后 看别人的文章才知道的 如果是用dirsea...
【原创】记一次ctf实战—— 0CTF-2016-Web-piapiapia(失败)
老样子,进去看看 看看有没有注入 这提示看着就不像有过滤的,会不会像那次做的那题一样是泄露呢BDJCTF-2020-Web-easy_search 扫一下子域名 哇,貌似有好东西 下载看看 先贴出代码...
【原创】CTFshow—反序列化(254—278)
头疼的序列化来了,想起被代码审计支配的恐惧,难受 web254 ?username=xxxxxx&password=xxxxxx 还是有个小知识:Public Function 和 Fun...
【原创】CTFShow—F5杯(web篇)
eazy-unserialize <?php include "mysqlDb.class.php"; class ctfshow{ public $method; public $args; ...
第五届“强网”拟态防御国际精英挑战赛初赛WriteUp By EDISEC
EDIJOIN US ▶▶▶招新EDI安全的CTF战队经常参与各大CTF比赛,了解CTF赛事。欢迎各位师傅加入EDI,大家一起打CTF,一起进步。(诚招re cr...
从头完成一个 Restful API 服务
今天一起来通过 Flask 快速完成并部署一个 Restuful 服务,不要轻易走开哦01.框架概要先来看看大致的代码框架这里说明下,这套代码结构是参照经典flask书籍《Flask Web Deve...
使用atexec 进行喷洒攻击
点击上方蓝字关注我们使用atexec传递密码或hashhttps://github.com/maaaaz/impacket-examples-windows注意事项atexec最好需要指定admini...
vulnhub 靶场 napping
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与...