![](https://img-blog.csdnimg.cn/20201014180756926.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
ctf
爱吃香菜的哈哈
姑娘,你野心勃勃的样子真美
展开
-
ctf训练 中间件PUT漏洞
ctf训练 中间件PUT漏洞中间件PUT漏洞介绍中间件包括apache、tomcat、llS、weblogic等,这些中间件可以设置支持的HTTP方法。(HTTP方法包括GET、POST、HEAD、DELETE、PUT、OPTIONS等)每一个HTTP方法都有其对应的功能,在这些方法中,PUT可以直接从客户机上传文件到服务器。如果中间件开放了HTTP中的PUT方法,那么恶意攻击者就可以直接上传webshell到服务器对应的目录。直接上传shell,也可以从侧面反映PUT漏洞的严重危害性。实验环境原创 2020-12-05 19:44:18 · 652 阅读 · 0 评论 -
ctf训练 web安全命令注入漏洞
ctf训练 web安全命令注入漏洞实验环境一台kail攻击机 和 靶机靶机镜像:https://pan.baidu.com/s/1FG3VbDmDGHY8rOtuOFhRxA 提取码:oues安装打开靶机(使用Oracle VM VirtualBox打开):(注意:靶机用桥接模式则攻击机也用桥接模式,注意检查!!!!)接下来发现没法登陆,也没有办法获取ip地址所以我们在kail下进入控制台使用netdiscover命令 netdiscover -r ip/子网掩码 命令来探测靶机信息原创 2020-12-05 14:27:43 · 2140 阅读 · 1 评论 -
ctf训练 命令执行漏洞
ctf训练 命令执行漏洞命令执行漏洞介绍当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,又没有过滤用户的输入的情况下,就会造成命令执行漏洞。实验环境一台kail攻击机 和 靶机靶机镜像:https://pan.baidu.com/s/1原创 2020-12-04 22:43:34 · 780 阅读 · 0 评论 -
ctf训练 web安全暴力破解
ctf训练 web安全暴力破解暴力破解漏洞介绍穷举法的基本思想是根据题目的部分条件确定答案的大致范围,并在此范围内对所有可能的情况逐一验证,直到全部情况验证完毕。若某个情况验证符合题目的全部条件,则为本问题的一个解;若全部情况验证后都不符合题目的全部条件,则本题无解。穷举法也称为枚举法。Web安全中的暴力破解也是利用尝试所有的可能性最终获取正确的结果。实验环境一台kail攻击机 和 靶机靶机镜像:https://pan.baidu.com/s/1jitlWbjJHfyzfvPEBVDhUw 提原创 2020-12-03 21:10:59 · 1029 阅读 · 0 评论 -
ctf训练 web安全命令执行漏洞
ctf训练 web安全命令执行漏洞命令执行漏洞介绍当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,又没有过滤用户的输入的情况下,就会造成命令执行漏洞。实验环境一台kail攻击机 和 靶机靶机镜像:https://pan.baidu.co原创 2020-12-03 19:37:16 · 962 阅读 · 0 评论 -
ctf训练 Capture the Flag
ctf训练 Capture the FlagCTF介绍CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag",也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag"。CTF比赛中涉及内容比较繁杂,我们要利用所有可以利用的方法获得flag。实验环境一台kail攻击机 和 靶机靶机镜像:https://pan.原创 2020-12-03 00:10:29 · 1311 阅读 · 0 评论 -
ctf训练 web安全SQL注入(X-Forwarded-For)
ctf训练 web安全SQL注入(X-Forwarded-For)SQL注入漏洞介绍SQL注入攻击指用用户构建特殊的输入作为参数传入Web应用程序,通过执行sQ语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。任何一个用户可以输入的位置都可能是注入点。比如url中,以及http报文中;实验环境一台kail攻击机 和 靶机靶机镜像:https://pan.baidu.com/s/1juB-vkfP9C7RHEM5T4ffAA 提取码:dquy安原创 2020-12-02 20:40:41 · 566 阅读 · 1 评论 -
ctf训练 web安全SQL注入get
ctf训练 web安全SQL注入getSQL注入漏洞介绍sQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的数据库配置;③不合理的查询集处理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。实验环境一台kail攻击机 和 靶机靶机镜像:原创 2020-12-02 12:34:14 · 413 阅读 · 0 评论 -
ctf训练 服务安全FTP服务
ctf训练 服务安全FTP服务FTP介绍FTP是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中,用户经常遇到两个概念:"下载”(Downloac)和上传(Upload)。"下载"文件就是从远程主机考贝文件至自己的计算机上,"上传"文件就是将文件从自己的计原创 2020-12-02 07:49:33 · 360 阅读 · 0 评论 -
ctf训练 SMB信息泄露
ctf训练 SMB信息泄露SMB介绍SMB (Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。后来Linux移植了SMB,并称为samba。SMB协议是基于TCP - NETBIOS下的,一般端口使用为139,445SMB协议,计算机可以访问网络资源,下载对应的资源文件实验环境一台kail攻击机 和 靶机靶机镜像:https://pan.baidu.com/s/12R-y原创 2020-11-30 22:48:19 · 422 阅读 · 0 评论 -
ctf训练 ssh私钥泄露
ctf训练 ssh私钥泄露CTF比赛中,比赛环境的两种方式1.给予在同一局域网中的攻击机和靶场机器,以web方式可以访问攻击机,通过攻击机来渗透靶场机器,获取对应的flag值;(一般情况下给于kali linux作为攻击机,并且举办方提供计算机)⒉给予一个网线接口,用户自备工具,直接连接网线,进行渗透靶场机器,获取对应的flag值;这里我们做一个小练习实验准备:一台kail(作为攻击机),一台靶机靶机镜像:https://pan.baidu.com/s/1Up3kgpwK4Mt3McGklN6r原创 2020-11-29 18:35:08 · 466 阅读 · 2 评论 -
web基础+sql注入
web基础+sql注入web应用的基本架构HTTP协议HTTP是Hyper Text Transfer Protocol(超文本传输协议)的缩写。它的发展是万维网协会(World Wide Web Consortium)和Internet工作小组IETF(InternetEngineering Task Force)合作的结果,(他们)最终发布了一系列的RFC,RFC 1945定义了HTTP/1.0版本。其中最著名的就是RFC2616。RFC 2616定义了今天普遍使用的一个版本——HTTP 1.1原创 2020-11-28 21:11:44 · 238 阅读 · 0 评论 -
ctf之linux基础和网络基础
ctf之linux基础和网络基础Linux应用Linux是一个开源、免费的操作系统,其稳定性、安全性、处理多并发已经得到业界的认可,目前很多中型、大型甚至巨型项目都在使用Linux使用Linux的部分公司厂商:网宿/深信服/绿盟/…互联网公司:新浪/京东/淘宝/…运营商:移动/电信/联通/…Linux相关岗位主机工程师·系统工程师运维工程师·安全工程师…如何学习Linux先建立一个整体框架,然后细节用什么,再学什么计算机是一门“做中学”的学科,不是会了再做,而是做了才会先kno原创 2020-11-28 16:25:10 · 1167 阅读 · 0 评论 -
CTF之密码学
CTF之密码学01密码学概述目的:为了保证数据传输的可靠性核心:密码学;(用于数据动态传输和静态存储)方法:编码:相当于有一张映射表加密:需要算法和密钥,较为复杂摘要密码学的发展第一阶段是从古代到19世纪末------古典密码第二阶段是20世纪初到1949年------近代密码第三阶段从C.E.Shannon(香农)于1949年发表的划时代论文"The Communication Theory of Secret Systems "------现代密码第四阶段从1976年W.D原创 2020-11-28 14:18:25 · 1952 阅读 · 0 评论