Javaweb安全——Fastjson反序列化利用
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。
CTFHub | 弱口令
此题目主要是了解对网站弱口令的爆破,首先查看网页,进行手工检查判断是否有网站验证码,此题没有网站验证码相对简单。那么可以使用抓包工具采用集束炸弹的方式进行暴力破解。最后检查攻击日志发现此题 flag 。
Web安全之CTF测试赛
一次CTF测试赛
ctfshow web(不定期更新)
php://input 可以访问请求的原始数据,配合文件包含漏洞可以将post请求体中的内容当做文件内容执行,enctype=multipart/form-data"时,php://input将会无效。MD5弱等于绕过:有些字符md5后的值为0e开头,会被当做科学计数法,也就是0.所以当找到2个字符
渗透测试CTF-图片隐写的详细教程(干货)
图片隐写详细教程
[ CTF ] WriteUp- 20221003 CTFShow新(脑洞)手(套路)杯
CTFShow新(脑洞)手(套路)杯
BUUCTF笔记之Crypto部分WriteUp(二)
1、凯撒?替换?呵呵!凯撒密码一般就是26个字母经过单纯的按字母顺序来位移的加密方法(一般)如:abc=def进阶版的凯撒就不按照字母顺序的加密,等于是一个字母打乱顺序,使用类似密码本的形式对应另一个字母。所以就要经过暴力破解出每一种可能的对应加密。这里使用工具:https://quipqiup.c
MSF漏洞利用完成但无法创建会话的几种原因
文章目录1.引言2.原因2.1漏洞payload和目标架构不匹配2.1.1 解决办法2.2 参数LHOST/SRVHOST 配置不当2.2.1 解决办法2.3 使用了NAT模式2.3.1 解决办法2.4存在杀软/EDR终端管理等2.4.1 解决办法2.5漏洞利用模块存在问题2.5.1 解决办法2.6
Javaweb安全——反序列化漏洞-CC&CB链思路整理
如上图所示基本上起点终点就是那几个点然后相互拼接:《Shiro RememberMe 漏洞检测的探索之路》中Koalr师傅已经对CommonsCollections 系列 gadget进行了提纯变成以下四条对命令执行部分的调用分别为InvokerTransformer调用TemplatesImpl对
VNCTF 2023 部分wp
今年逆向题目比较多,还挺顺手的,其他题目还算不难,除了babyAnti这题就AK逆向了。这题用的flutter库,研究了好久也完全找不到思路,只好放弃。后来才知道根据题目的名字,预期解就是去掉反作弊的检查,用作弊方法完成的。
BUUCTF WEB [极客大挑战 2019]Secret File1(抓包、代码审计、文件包含)
首先是一个黑色界面看起来没什么可以点击的地方其实有,瞎点还真找到了大概在这里不过也不用费力去找,直接看源码,发现链接点击进入Archive_room.php页面中间一个按钮,点击进入看看盲猜一手他有问题,尝试抓包看看重发得到一个被注释的php访问又是代码审计strstr() — 查找字符串的首次出现
ctfshow--RCE极限挑战
使用A的话构造GET肯定是无法小于105 那么可以尝试构造POST。phpinfo安装了一个扩展gettext,该扩展支持函数。,我们可以利用反引号执行命令 echo输出。我们跑一下 看看哪些字符没有被过滤。要保证构造payload长度小于。限制字符的自增 对于我来说较难。fuzz测试哪些字符没有被
CTFHub | Refer注入
根据题目显示内容,此题和上一题一致,需要在 Refer 请求头中进行 SQL 注入。那么直接使用 burp suite 抓包工具抓取题目网站的信息,并将抓取到的数据发送给重放器。在 Refer请求中使用 payload 进行测试,发现此题存在 Refer注入。那么直接根据注入流程进行注入,最后发现此
BUUCTF reverse题解汇总
BUUCTF平台刷题过程中做的一些逆向题解的总结归类
[SCTF2019]babyre 题解
buuctf-[SCTF2019]babyre 题解
CTFHub | HG泄露
这题与之前的题目比较类似,同样使用 dvcs-ripper 工具下载泄露的网站目录,但是使用工具过程中出现了一些错误,导致网站源代码没有完整下载。正如网页显示内容中的提示所说,不好使的情况下,试着手工解决。那么此题目是让我们不要过度依赖工具的使用。使用 tree 命令列出下载到本地目录的所有文件。发
【CTF】git源码泄露和代码审计
一道ctf题目中的学习:git泄露、源码获取与函数绕过学习。
2023年江苏省职业院校技能大赛中职网络安全赛项试卷-学生组-任务书
6.为了提高系统安全性,要禁止root账号登录,以普通用户登录系统,当需要使用系统命令时使sudo命令前缀执行,但需要设置该通用户的权限、修改好scdo配置文件后,禁止root账号登录,将禁止root账号登录的命令及参数作为Flag进行提交,Flag格式为flag{xxx};3.为了提高系统安全性,
CTF Misc(1)图片隐写基础以及原理,覆盖了大部分题型
ctf misc图片隐写的总结,以及原理介绍,覆盖了大部分图片隐写类题目
