Part1 前言 大家好,我是ABC_123。前不久遇到一个Oracle注入漏洞,是搜索型的盲注漏洞,只能用折半法一个字符一个字符的猜解数据,使用sqlmap可以直接跑出来,经过...
无字母数字Webshell&&冰蝎Webshell
前言 前段时间在刷CTF题目的时候碰到了各种过滤,其中给我印象最为深刻的是无字母数字Webshell,但是刷题的时候总觉得理解不是那么透彻,于是考虑写一篇总结文章好好总结一下。 背景 所谓的无字母无数...
字符编码及浏览器解析原理
浏览器在解析HTML文档时无论按照什么顺序,主要有三个过程:HTML解析、js解析和url解析,每个解析器负责HTML文档中各自对应部分的解析工作。 首先浏览器接收到一个HTML文档时,会触...
Bugku--7+1+0--WP
解压得到字符串 4nXna/V7t2LpdLI44mn0fQ==使用python尝试base64解码结果为b'xe2uxe7kxf5{xb7bxe9txb28xe2ixf4}'这样可能不够直观,将奇数...
最新的各HTTP解析器差异导致的漏洞
整理测试近期各类HTTP解析器不一致导致的漏洞,可以绕过Nginx ACL和AWS WAF,SSRF利用,异步缓存中毒等。绕过NginxNginx 是一个强大的 Web 服务器和反向代理,关于Ngin...
【实战】记录一次edusrc挖掘
1.我的挖掘逻辑 因为实际渗透会遇到一个登入框摆在面前的情况比较多,所以我选择的目标多数也是某某系统登入界面。 我的测试逻辑一般是 1.弱口令+爆破+密码泄露查找 2.xss(比较少而且不是存储基本不...
一个自定义字典工具的源码分析
一个自定义字典工具的源码分析 removeSlashPrefix func removeSlashPrefix(text string) string { for { if strings.HasPr...
密码学base100
base100是一种对称加密,特点是加密后是emoji。讲base100的文章比较少。其实也很简单,这块做一个记录。这里拿字符'a'举例说明加密过程:首先会根据字符的字节数,决定emoji表情个数字符...
源码特洛伊木马攻击
最近,我们在 Github 的 Code Review 中看到 Github 开始出现下面这个 Warning 信息—— “This file contains bidirectional Unico...
CTF常见编码
扫码领资料获网安教程免费&进群常见编码ASCII编码ASCII(美国标准信息交换代码)是基于拉丁字母的一套电脑编码系统,主要用于显示现代英语和其他西欧语言。它是现今最通用的单字节编码系统,是网...
哈希、加密、编码之间的区别 | 文末618福利,可以拿50京东卡!
哈希、加密、编码之间的区别在我们的日常生活中,有很多关于数据保护和安全的讨论。我们生活在这样一个时代,说数据是新的“货币”并没有错。就像我们拥有的任何其他货币一样,我们永远不希望我们的数据隐私落入他人...
php代码审计方法论
一.分类1. 未授权访问2. 逻辑漏洞,主要存在交互的地方的功能函数上。3. 潜在简单:SQL注入,SSRF,XSS,任意文件读取,文件包含,任意文件下载,文件删除,RCE,远程命令执行,反序列化4....
12