攻防世界Web高手进阶区(三) mfw 看About页面,怀疑git源码泄露,用dirsearch扫一下 About I wrote this website all by myself in under a week! I used: Git PHP Bootstrap 再用git_extract得git源码,审计源码 12345678910111213141516171819<?phpif (isset( 2022-06-23 CTF
攻防世界Web高手进阶区(二) upload1 文件上传题,先上传一个图片试试看,文件名可以回显,利用时间戳进行随机命名 接下来就是上马了,试试php一句话木马,有前端的限制 改个后缀继续上传,被waf检测到了 文件名再改回来,看看是不是waf对body进行过滤,看来是后缀php被过滤掉了,不对body进行检查 不知道怎么回事,突然又上传成功了,莫名其妙,难道换个网络能禁掉waf?后来看别人的wp,居然没有遇到waf! 2022-06-15 CTF
攻防世界Web高手进阶区(一) baby_web 提示为初始页面,用dirsearch扫了下没结果,用brup遍历1-1000的php页面也没什么卵用,还是看wp吧 😭 访问初始页面index.php查看头部,居然这么简单(以后还是多用burp的repeater模块,edge自带的看的少) 这里访问index.php被重定向到1.php中,是通过响应头Location来实现的,状态码302跳转 ics-06 云平台报表 2022-06-10 CTF
攻防世界Web新手区 写在前面 作为一个学习网安的菜鸡,大多时候都不太正经,只会去研究自己感兴趣的东西,导致接触的东西杂而多,但都没有显著的成果,是时候回归web正道了,就从最基础的攻防世界出发,记录我的web学习之路。 view_source 打开页面后发现鼠标左键选中和右键失灵,提示查看源码F12 edge源代码一栏选中页面选项,会显示相关站点信息的页面源码,包含js和html等 这里发现是通过js中 onc 2022-06-08 CTF
基于NTLM的中间人攻击 中间人攻击 中间人攻击(Man-in-the-Middle Attack,简称“MITM攻击”)是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。在中间人攻击中,攻击者可以拦截通讯双方的通话并插入新的内容。中间人攻击一个(缺乏)相互认证的攻击。大多数的加密协议都专门加入了一些特殊的认证方法 2022-06-02 渗透
Hello World Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub. Quic 2022-06-01