nmap超详细使用指南 发表于 2018-08-12 | 分类于 工具使用 | 阅读次数: 初识NmapNmap是被专业人员广泛使用的一款功能全面的端口扫描工具。它由Fyodor编写并维护。由 于Nmap品质卓越,使用灵活,它已经是渗透测试人员必备的工具。 除了端口扫描外,Nmap还具备如下功能: 123456789主机探测:Nmap可査找目标网络中的在线主机。默认情况下,Nmap通过4种 ... 阅读全文 »
iptables命令详解 发表于 2018-07-02 | 分类于 Linux | 阅读次数: iptables命令详解iptables是防火墙,已经集成在内核中(netfilter项目的一部分),所有的Linux发行版都能使用 iptables . 快捷高效同时也有很好的扩展性. 语法简短的语法: 1iptables (选项) (参数) 高级命格式: 12iptables [-t 表名 ... 阅读全文 »
urldecode二次编码绕过 发表于 2018-05-21 | 分类于 代码审计 | 阅读次数: urldecode二次编码绕过urldecode() 用于解码 URL 字符串函数,此函数用于解码给出的已编码字符串中的任何 %##以及中文等被编码的内容。 (加号(’+’)被解码成一个空格字符)。 与之对应的 urlencode() 用于编码 URL 字符串函数。此函数便于将字符串编码并将其用于 ... 阅读全文 »
strcmp字符串比较绕过 发表于 2018-05-21 | 分类于 代码审计 | 阅读次数: strcmp() 函数strcmp() 函数比较两个字符串,且区分大小写 。 语法:strcmp(string1,string2) 返回值: 1230 - 如果两个字符串相等<0 - 如果 string1 小于 string2>0 - 如果 string1 大于 string2 实例 ... 阅读全文 »
extract变量覆盖 发表于 2018-05-21 | 分类于 代码审计 | 阅读次数: extract()函数extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数返回成功设置的变量数目。 实例 将键值 “Cat”、”Dog” 和 “Horse” 赋值给变量 $a、 ... 阅读全文 »
OverTheWire-Natas 发表于 2018-05-17 | 分类于 CTF | 阅读次数: NATAS0-33Natas教授了服务器端网络安全的基础知识。natas的每个级别都包含位于http://natasX.natas.labs.overthewire.org的自己的网站 ,其中X是级别号码。有没有SSH登录。要访问某个级别,请输入该级别的用户名(例如,0级的natas0)及其密码。每 ... 阅读全文 »
bugku web writeup 发表于 2018-04-26 | 分类于 CTF | 阅读次数: 持续更新中…… web2直接审查元素找到FLAG 文件上传测试上传一个图片格式的文件,然后burpsuite抓包修改后缀名为PHP得到FLAG 计算器 审查元素,发现最长字符为1,改为大于1,输入答案get FLAG web基础$_GET1234567$what=$_GET['what'];echo ... 阅读全文 »
OverTheWire-Bandit 发表于 2018-04-23 | 分类于 CTF | 阅读次数: OverTheWire-Bandit 1-27官网:http://overthewire.org/wargames/bandit/ 强盗战争是针对绝对的初学者。它将教授需要能够玩其他战争游戏的基础知识,通过这个游戏能学习到很多Linux的基础知识。和大多数其他游戏一样,这个游戏按层次组织。你从0级开 ... 阅读全文 »
baijiacmsV3 CSRF add admin 发表于 2018-04-20 | 阅读次数: baijiacmsV3 CSRF add admin There is a CSRF vulnerability that can add the administrator accountAfter the administrator logged in,open the following on ... 阅读全文 »