ctf学习笔记
文章平均质量分 59
Ibabysit
这个作者很懒,什么都没留下…
展开
-
CTFDay9 文件包含漏洞
CTFDay9 文件包含漏洞漏洞原理文件包含漏洞:即file inclusion,意思是文件包含,是指服务器开启alloww_url_include、allow_url_fopen选项时,就可以通过php的include(),include_once(),require(),require_once()函数利用url去动态包含文件,如果没有对文件来源进行严格审查,就会导致恶意文件被读取或者执行。漏洞类型本地文件包含(LFI):被包含文件在服务器本地,执行方式为下图左上角url远程文件包含(R原创 2021-05-04 10:44:39 · 183 阅读 · 0 评论 -
CTFDay7 SQL Injection2
CTFDay7 SQL Injection注入流程注入类型错误注入:单引号’产生语法错误,报语法错说明单引号‘没有被过滤,存在注入可能性。弹出提示说明单引号‘被过滤。布尔注入布尔逻辑注入的思路是闭合sql语句、构造or和and逻辑语句、注释多余代码万能密码基于Union的注入UNION语句用于联合前面的SELECT查询语句,合并查询更多的结果。一般通过错误注入和布尔注入确认注入点后,通过UNION语句获取更多的信息字段少了凑,字段多了拼接(concat)查询inf原创 2021-05-03 11:09:28 · 144 阅读 · 0 评论 -
ctf.bugku.com web_WriteUp
ctf.bugku.com web_WriteUpweb1F12解决web2F12,修改html表单限制。web3增加get请求参数web4在火狐浏览器hackbar插件中输入打开网页,使用POST请求方式web5增加get请求参数,注意url最后的/web6火狐浏览器查看源代码,在注释中有一段数字,使用Unicode解码web11使用御剑扫描后台,发现shell.php使用bp暴力爆破。。...原创 2021-05-02 11:58:24 · 238 阅读 · 0 评论 -
Burpsuite使用
Burpsuite使用拦截代理1.修改浏览器代理方式(以火狐为例)菜单->选项(滑到底)->网络设置2.设置burpsuite拦截刷新浏览器实现拦截拦截过程修改证书1.导出证书2.安装原创 2021-05-01 21:00:54 · 118 阅读 · 0 评论 -
CTFDay6 MySQL入门
CTFDay6 MySQL入门概述MySQL是一个关系型数据库管理系统,由瑞典MySQL AB公司开发,属于Oracle旗下产品,是最流行的关系型数据库管理系统之一。MySQl 瑞典一家公司开发MySQL AB,08年Sun收购,09年Oracle收购特点:开源 免费 成本低 性能高 移植性好规范1,命名不区分大小写2,每条命令分号结尾3,每条命令根据需要,可进行缩进或者换行4,注释单行注释 #或者–多行注释 /* */基本命令cmd展示所有数据库原创 2021-05-01 18:04:26 · 91 阅读 · 0 评论 -
CTFDay5 SQL Injection
CTFDay5 SQL Injection1,数据库 数据库,简而言之可视为电子化的文件柜——存储电子文件的处所,用户可以对文件中的数据运行新增、截取、更新、删除等操作。 所谓“数据库”系以一定方式储存在一起、能予多个用户共享、具有尽可能小的冗余度、与应用程序彼此独立的数据集合2,数据库管理系统 数据库管理系统(Database Management System,简称DBMS)是为管理数据库而设计的电脑软件系统,一般具有存储、截取、安全保障、备份等基础功能3,sql简介原创 2021-04-29 10:17:59 · 170 阅读 · 1 评论 -
CTFDay4 常用软件安装
CTFDay4 常用软件安装burpsuite安装1 获取并安装JAVA JDKBurp suite是一款用java语言开发的程序,所以运行需要用到java的运行环境,但高版本的java并不支持Burp suite的运行,最适合的java版本是Java SE Development Kit 8https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html2 配置java环境此电脑(右键)->属性(左键原创 2021-04-29 08:35:21 · 158 阅读 · 0 评论 -
CTFDay3
CTFDay3 web常见漏洞HTML注入HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。类型:存储型HTML注入:存储型HTML注入攻击会将恶意HTML代码存储在Web服务器上,并且每次用户调用适当的功能时都会执行。反射型HTML注入:反射型HTML注入攻击,恶意HTML代码不会存储在Web服务器中,当网站立即响应恶意输原创 2021-04-28 22:26:54 · 69 阅读 · 0 评论 -
CTf-Day2
CTf-Day2名词解释:域名:域名是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称木马:木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码社工:一种人为心理学的攻击手段,大概主旨含义你可以理解成所有的防火墙或者权限,再安全也只是相对的,因为操作他的是人,所以只要对人身进行了渗透攻击,那所有的信息会被你暴露无遗。后门:保持对目标主机长期控制poc:意思是为观点提供证据exp:Exploit 的英文意思就是利用,它在黑客眼里就是漏洞利用MD5加密中文名为消息摘原创 2021-04-22 10:13:17 · 260 阅读 · 0 评论 -
HTTP(超文本传输协议)
HTTP(超文本传输协议)概念:HTTP是用于万维网服务器传输超文本到本地浏览器的传送协议。发展过程:HTTP/0.9 1991~1996HTTP/1.0 1996~1997HTTP/1.1 1997~2015(当下仍然是主流)HTTP/2.0 2015~HTTP报文:请求:请求行请求头空行(表示请求体开始)请求体空行(表示请求体结束)响应响应行响应头空行(表示响应体开始)响应体空行(表示响应体结束)状态码:1** 一般信息2** 成功3** 重定向原创 2021-04-21 08:55:00 · 261 阅读 · 1 评论