substr - 第 6 | CN-SEC 中文网

安全博客

【原创】ctfshow—web（1—14）

[huayang] web1 web2 手注 sqlmap web3 web4 payload ?url=/var/log/nginx/access.log 看日志写入一句话 <?php @e...

01月01日14 views评论

阅读全文

安全文章

web渗透中bypass防护系统

一. webshell执行命令文件上传后向webshell传参数：三重url编码三重base64编码cookie传参参数污染http://test/xx.jsp?a=xxx很多的垃圾字符xxx&...

12月29日19 views评论

阅读全文

安全文章

常规特殊字符被过滤的一种绕过技巧

今天来分享一个绕过过滤比如 ' " ( ) % 等字符的场景，测试环境为 PHP+Mysql假设场景php 代码通过 HTTP GET 参数 param1 接收用户输入的内容，然后...

12月19日22 views评论

阅读全文

安全博客

【原创】ctfshow—WEB_AK赛

[huayang] 签到_观己过滤了php意思就无法使用文件包含 [huayang]查看日志文件/var/log/nginx/access.log 有ua显示可以使用一句话 <?php @ev...

12月03日18 views评论

阅读全文

应急响应

蓝军基础研判系列-流量分析（一）

题目地址：攻防世界-流量分析1https://adworld.xctf.org.cn/challenges/details?hash=e19dbf28-130a-11ed-9802-fa163e4fa...

11月30日107 views评论

阅读全文

安全文章

【漏洞复现】CVE-2021-31805_Struts2-062远程代码执行

1 漏洞信息漏洞名称远程代码执行漏洞漏洞编号CVE-2021-31805危害等级高危CVSS评分8.5漏洞类型中间件漏洞漏洞厂商Apache漏洞组件Struts2受影响版本2.0.0 <= St...

11月30日289 views评论

阅读全文

CTF专场

PHP Exception CTF题目

扫一扫关注公众号，长期致力于安全研究前言：这是前段时间打的一场比赛0x01 解题思路首先代码如下，关键点就在于这几行。其实就是通过substr来截取字符串并在最后一行当做函数来调用$class = n...

11月22日273 views评论

阅读全文

安全博客

利用burpsuite进行半自动盲注

在手工注入进行盲注时，一个一个字符测试工程量过大，这时我们就可以配合burp-suite的intruder模块进行半自动化注入下面只提供思路及简单过程，盲注具体方法请参看前面文章例如：我们已经测得...

11月11日45 views评论

阅读全文

CTF专场

CTF 中编码和代码审计

本篇文章基于学习CTF中遇上的编码问题和代码审计进行学习。第一：准备好靶场环境第二：常看web页面了解功能，发现此页面为静态页面，无任何功能可以交互，那就从扫描其他目录看看能不能获取有效信息，以及查看...

10月08日219 views评论

阅读全文

CTF专场

DASCTF2022.07赋能赛部分WriteUp

Ez to getflag打开题目在搜索框里/flag得到flag绝对防御在static/alerttip.js路径里找到可疑文件路径，访问查看js源码发现可传参id着传一下，发现id=1是admin...

07月25日717 views评论

阅读全文

安全闲碎

【知识回顾】为什么一段脚本语言能够控制Web服务器？

0x00 前言有个同学向我提问，为什么使用蚁剑能够对 Web服务器进行一个控制呢？这个问题很基础啊，但对于一个初学者来说，还是有必要对他进行一个解释的。这个问题，说白了，就是了解 WebShell 的...

06月13日64 views评论

阅读全文

Typecho 反垃圾评论原理和 Python 模拟

最近在看 Typecho 的时候，在页面中发现了这样一段奇怪的代码 var _FKbCJ = //'l' 'l'+//'h' 'df'+'f'//'pga' +'6a4'//'ZR' +'ff0'//...

05月17日安全博客72 views评论

阅读全文

【原创】ctfshow—web（1—14）

web渗透中bypass防护系统

常规特殊字符被过滤的一种绕过技巧

【原创】ctfshow—WEB_AK赛

蓝军基础研判系列-流量分析（一）

【漏洞复现】CVE-2021-31805_Struts2-062远程代码执行

PHP Exception CTF题目

利用burpsuite进行半自动盲注

CTF 中编码和代码审计

DASCTF2022.07赋能赛部分WriteUp

【知识回顾】为什么一段脚本语言能够控制Web服务器？

Typecho 反垃圾评论原理和 Python 模拟

在线咨询

微信