- 博客(6)
- 收藏
- 关注
原创 文件包含漏洞
目录一、文件包含漏洞概述二、文件包含漏洞类型三、常用的防御方式四、常用的绕过方式一、文件包含漏洞概述1.什么是文件包含程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。2.文件包含漏洞产生原理文件包含函数加载的参数没有经过过滤或严格定义,可以被用户控制,包含其他恶意文件,导致了执行非预期代码。程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量来进行动态调用,但正是
2022-05-01 15:06:52 6144
原创 文件上传考核题解
http://120.79.135.77:10002/range1/http://120.79.135.77:10002/range1/
2022-05-01 12:40:19 292
原创 文件上传原理
目录一、什么是文件上传漏洞二、漏洞产生的原因三、常见校验上传文件的方法四、绕过方法一、pass-01(js前端验证)二、pass-02(ContentTpye头检测文件类型绕过)三 、pass-03(文件后缀的判断(黑名单绕过)四、pass-04(重写解析规则绕过)五、pass-05(大小写绕过)六、pass-06(后缀名加空格绕过)七、pass-07(后缀名加点绕过)八、pass-08(后缀名加::$DATA绕过)九、pass-09(利用函数...
2022-04-24 21:32:54 2657
原创 upload-labs题解
该文件不允许上传--前端认证(在前端已经被拦截了,没有上传到后端,所以无法第一时间进行抓包)查看源码发现前端对文件类型进行了过滤解决方法:在本地客户端禁用js.(用户点击上传按钮(submit)后,会触发js事件--onsubmit='return checkfile()";) 通过浏览器审查元素对网页代码的查看,删除onsubmit事件作者采用了第二种方法,删除后,复制图像信息进行访问。上传成功:二、pass-02(C.
2022-04-24 21:02:00 2070
原创 ctf--攻防世界web**区1-5题思路
攻防世界web新手区1.view source查看源代码的方式有三种方法电脑右键查看源代码 f12/fn+f12 在地址栏前面加上view source如view source:htpp任意选其他方式查看源代码,在源代码中就可以看到flag值2.robots我们创建场景后发现没有任何的东西题目中提到robot协议是什么,那我们就不妨去搜索robot协议robot协议也叫robots.txt是搜索引擎中访问网站的时候要查看的第一个文件,...
2022-01-25 17:37:45 2232
原创 ctf练习
一.前期准备java环境的配置 burp suite抓包工具的安装以及了解基本使用方法 注册攻防世界和bugku两个ctf练习平台二.学习目标--寒假能够自主的完成一些ctf题目 对ctf不同方向有基础的了解和体会三.学习计划安排--小白时期攻防世界新手区--题目根据大神分享的writeup进行做题--了解ctf不同方向题目形式以及内容,对ctf有初步认知 攻防世界高手进阶区以及其他平台--逐渐脱离大神的writeup,开始独立思考如何写题--总结思路 在做题的过程中总结ctf需.
2022-01-25 00:44:57 1874
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人