qwzf

转载自FreeBuf平台 作者：undef1ned 前言虽然比赛过程中没做出来，结束后仔细研究了一下。感觉很有意思，分享给大家。再次体会到重要的不是结果，而是研究的过程。题目简介34c3CTF web中的extract0r。题中的目是一个安全解压服务，用户输入zip的url地址，程序对url进行合法性校验后会下载该zip，然后为用户创建一个目录，把文件解压进去0x00 任意文件读取经过测试，发现输入的域名中不能含有数字，并且压缩文件中不能含有目录，解压后的目录不解析php。通过上传一个含有符号链接文件的压缩

前言 之前一次线上赛，遇到一道Web题，涉及了HTTP请求走私。由于之前未学习过，从而我展开了HTTP请求走私的学习之旅。 HTTP请求走私是什么 HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。使攻击者可以绕过安全控制，未经授权访问敏感数据并直接危害其他应用程序用户。 为什么会产生HTTP请求走私 前端服务器(CDN)和后端服务器接收数据不同步，引起对客户端...

HTTP协议基础 因为想要学习抓包工具的使用，而抓包抓到是HTTP头流量包(有点看不太懂)，所以学习了一点HTTP协议的相关基础知识。。。。 一、初识HTTP协议 1、HTTP协议是什么 HTTP（Hypertext Transfer Protocol）中文“超文本传输协议”，是一种为分布式，合作式，多媒体信息系统服务，面向应用层的协议，是Internet上目前使用最广泛的应用层协议，它基于传输...