CTF专场

浅谈PHP无回显命令执行的利用

如果请求的目标不是ip地址而是域名,那么域名最终还要转化成ip地址,就肯定要做一次域名解析请求。那么假设我有个可控的二级域名,那么它发出三级域名解析的时候,我这边是能够拿到它的域名解析请求的,这就相当...
admin 09月29日84 views浅谈PHP无回显命令执行的利用已关闭评论php 命令
阅读全文
CTF专场

MRCTF2020部分题的总结与复现

0x00 前言题目整体来说不太难,毕竟是个新生赛,Web出的大部分题都很简单。但考察的知识点等方面,确实需要总结一下。于是我总结了部分MISC和Web。(Crypto不想总结)。0x01 WebPYW...
admin 09月29日88 viewsMRCTF2020部分题的总结与复现已关闭评论web 绕过
阅读全文
CTF专场

SSRF漏洞的利用与攻击内网应用

学过CSRF漏洞后,收获颇多。同时发现SSRF漏洞和CSRF漏洞有一点点类似之处。CSRF跨站请求伪造,基于客户端的请求伪造;SSRF服务器端请求伪造,基于服务端的请求伪造。因为SSRF还没学习,所以...
admin 09月29日164 viewsSSRF漏洞的利用与攻击内网应用已关闭评论ssrf 漏洞
阅读全文
CTF专场

从XML相关一步一步到XXE漏洞

0x00 前言想学XXE漏洞,XXE(XML External Entity Injection)全称为XML外部实体注入。XML?!发现我不会,简单看了一下基础知识,发现XML还可能存在XML注入和...
admin 09月29日102 views从XML相关一步一步到XXE漏洞已关闭评论xxe 注入
阅读全文