0x01 前言为期14天的TDP线上挑战赛已经结束全部赛程,这两个星期的排行榜也变化很大。本来没有多少时间的我就只在第一个星期花了点时间,大概总共花了三个小时吧。这期间感谢@PeiQi 一直和师傅交流...
新版DVWA的安装
以前实践过DVWA,本周有工作需要安装新版DVWA,过程中发现跟以前有不一样的地方,以下是安装记录,ubuntu18.04.5,安装需要的软件,sudo apt-get -y install apac...
利用XSS获取用户明文账户密码
我们知道在浏览器存在这样一个功能,当用户登录成功了一个网页后,浏览器会提示我们是否保存密码。如果我们点击同意,那么浏览器就会将账户及密码进行保存。当我们退出账户再次访问登录页面的时候,我们会发现浏览器...
【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例
0x01 前言今天微信群里一女装大佬给我私发了一个杀猪盘,说她朋友在这个平台上被骗了4W+,现在还有这么好骗的人吗?能不能先给我来一打!!!因为当时不确定能不能搞下来就没回她信息(其实已经在看了),不...
爆破cobalt strike密码脚本
你 · 的渗透必备工具工具清单无聊的我又来水文了,今天的是爆破cobalt strike密码脚本,最近活脱脱成了一个GITHUB的安(搬)利(运)管(工)。其余时间都是在写作业和整理自己的知识体系,学...
xxe-lab学习
xxe-lab学习xxe:xml外部实体注入,程序在解析xml文件时,引用了不安全的外部实体环境如下首先时回显的xxe,测试数据如下POST /php_xxe/doLogin.php HTTP/1.1...
从一次漏洞挖掘入门ldap注入
在最近的一次测试中,随缘摸到了一个sso系统,留给前台的功能只有登陆。没有验证码,但是登陆点强制要求每个用户更改强密码,而且除了管理员和测试账号其他大部分都是工号形式,所以不考虑撞库。直接fuzz一把...
前端RSA被丑爆破脚本
某网站登录的时候如下:然后我删除j_authcode以及一些有用的参数,可以绕过图形验证码那么这样就可以进行爆破了。不过我们可以看到用户名和密码,这究竟是什么玄妙呢?我们来看看前端代码。可以看到这里是...
ACCESS无select SQL注射
From:https://forum.90sec.org/forum.php?mod=viewthread&tid=10663需要报错select * from idea_user where...
区块链安全 - Ethernaut 0-5 (一)
0.Hello Ethernaut🐑题目源码// SPDX-License-Identifier: MITpragma solidity ^0.6.0;contract Instance { stri...
PHP代码审计之入门实战
系统介绍CMS名称:新秀企业网站系统PHP版官网:www.sinsiu.com版本:这里国光用的1.0 正式版 (官网最新的版本有毒,网站安装的时候居然默认使用远程数据库???迷之操作 那站长的后台密...
Firefox密码获取
Firefox和Chrome浏览器不同,Mozilla拥有自己的加密库,被称为网络安全服务(NSS),特别之处是NSS使用了ASN.1进行数据序列化。ASN1ASN.1 – Abstract Synt...
20