"不想长大"导读 以前做的一个简单的梳理,涉及操作系统、数据库、中间件、HTTP协议、XSS、...
目录遍历攻击(上)
在本节中,将会解释什么是目录遍历,并通过靶机试验描述如何进行路径遍历攻击和规避常见的障碍。 什么是目录遍历目录遍历(也称为文件路径遍历)是一种网络安全漏洞,允许攻击者读取运行应用程序服务器上...
实战|记一次MySQL注入绕过
作者:末初 编辑:白帽子社区SQL注入类型判断某朋友比赛中让帮忙看的一道题目,如下查看源码发现提示 存在过滤且,limit参数只能为单个数字 fuzz一下sq...
【2022HW】在即,某集团渗透实战
渗透开始:1.访问官网获取信息开始渗透https://www.xxx.com.cn/可以使用Fofa,火线,zoomeye,searchcode.com等爬取相关的资产,重点关注一些有漏洞暴露的框架和...
Citrix警告:严重的漏洞会让攻击者重置管理员密码 | 安全事件15
NEWSYOU@+ Citrix警告:严重的漏洞会让攻击者重置管理员密码(BleepingComputer)Citrix警告客户尽快安全更新以解决Citrix应用程序交付管理(ADM)的一个关键漏洞,...
从web到内网的一些思路及工具
最近一直没发文章,因为真的不知道发一些什么。本人很菜,也一直在学习。总结一些随想吧。一些简单的渗透思路: 其实渗透测试的本质就是信息收集。那么当我们得到一个目标以后,第一时间所去想的应该是如...
CTFer成长之路-任意文件读取漏洞-文件读取漏洞常见读取路径(PHP版)
第一步:利用文件包含漏洞读取文件源码类型如下面:?fp=php://filter/read=convert.base64-encode/resource=../sqli/db.php第二步写入文件?f...
CDN上线CS隐藏真实ip
配置CDN域名注册:https://sg.godaddy.com/zh?isc=gennbacn07&checkAvail=1&tmskey=1dom_03_godaddycom&am...
EDI内部赛赛后总结
点击蓝字 · 关注我们00前言⼩菜菜的AWD初体验,真的学习到了很多新知识。我感觉在EDI学到的⽐在学校学到的多的多哈哈哈哈,感谢各位师傅!(不仅是AWD) EDI内部赛安排:赛...
redis未授权利用方法总结
环境搭建Linux(centos7)下载地址:http://download.redis.io/releases/这里下载的5.0.3版本随后解压安装tar -zxvf redis-5.0.3.tar...
2022HW蓝队防护手册
蓝队手册,精选了多篇hvv的链接零.认知红队护网红队作战手册https://cloud.tencent.com/developer/article/1647861从攻击者角度解读防护思路https:/...
CTF中文件包含漏洞总结
通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 allow_url_fopen=On(默认为On) 规定是否允许从远程服...
55