【Web】NSSCTF Round#18 Basic个人wp(部分)
不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可。我们就按示例传一下(必须以http://开头,否则不能解析为图片)尝试传了发现不能起作用跳转,估计是这些被html实体化了。链接是插入到了src中,我们可以直接用">闭合img标签。从评论区知道,要让门酱玩元梦之星
二进制安全虚拟机Protostar靶场(7)heap2 UAF(use-after-free)漏洞
二进制安全虚拟机Protostar靶场(7)heap2 UAF(use-after-free)漏洞
【Web】CTFSHOW 文件上传刷题记录(全)
期末考完终于可以好好学ctf了,先把这些该回顾的回顾完,直接rushjava!
二进制安全虚拟机Protostar靶场(8)heap3 Fastbins unlink exploit
二进制安全虚拟机Protostar靶场(8)heap3 Fastbins unlink exploit
【Web】小白也能看懂的BeginCTF个人wp(全)
纯萌新,贴出自己的wp,一起交流学习QWQ。
【心得】SSRF攻击面利用个人笔记
SSRF的利用面。
二进制安全虚拟机Protostar靶场(5)堆的简单介绍以及实战 heap0
堆是一个很难的部分,为了方便入门,这篇文章只是简单的介绍了一些堆的运作机制,之后的文章再慢慢介绍其他的机制
【Web】NSSCTF Round#16 Basic个人wp(全)
出题友好,适合手生复健。
【Web】CTFSHOW元旦水友赛部分wp
web一共5题,我出了3题,巧的是好像师傅们也只出了3题,跨年拿旗还是很快乐的,下面直接贴出自己的wp.
[wp]“古剑山”第一届全国大学生网络攻防大赛 Web部分wp
我是菜鸡 记录学习过程 比赛说是原题杯 但我比赛打的少 记录下来
BUUCTF--Web篇详细wp
BUUCTF--Web篇详细wp。
CTFHub | .htaccess
htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。通过 htaccess 文件,可以帮我们实现:网页 301 重定向、自定义 404 错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
【WP】Geek Challenge 2023 web 部分wp
本文为Geek Challenge 2023 第十四届极客大挑战 web 部分wp 本人纯菜鸟 ,只记录学习过程,后续题再看看大佬wp进行复现
2023年掌控安全学院CTF暖冬杯——数据流分析
【代码】2023年掌控安全学院CTF暖冬杯——数据流分析。
攻防世界--流量分析2
攻防世界--流量分析2
NewStarCTF 公开赛-web
cookie 修改admin 源码发现key GET和POST传参即可。
【小余送书第三期】CTF/AWD竞赛标准参考书+实战指南:《AWD特训营》,参与活动,领书咯!
【小余送书第三期】CTF/AWD竞赛标准参考书+实战指南:《AWD特训营》,参与活动,领书咯!
Javaweb安全——Hessian 反序列化
Hessian类似于RMI也是一种RPC(Remote Produce Call)的实现。基于HTTP协议,使用二进制消息进行客户端和服务器端交互。Hessian 自行定义了一套自己的储存和还原数据的机制。对 8 种基础数据类型、3 种递归类型、ref 引用以及 Hessian 2.0 中的内部引用
CTFHub | 00截断
分析网页源代码可以看到,这段代码检查是否有提交的文件,如果用户点击了 Submit 按钮,那么将获取到上传的文件名,将用户上传的文件名与白名单中的文件(jpg、png、gif)进行比较,并生一个相同扩展名的随机文件名称。
CTFHub | 文件头检查
检查网页源代码,分析网页源代码没有发现明显的逻辑问题。这是一个简单的向服务器上传文件的代码,或许问题出现在没有对上传的文件进行验证,因为代码中没有做出一些上传判断。
