会下雪的晴天

title: CTFshow 反序列化wpdate: 2020-12-02 20:03:53categories: ctfshowlink：https://yq1ng.github.io/说一些有的没的：payload（有效攻击负载）是包含在你用于一次漏洞利用（exploit）中的ShellCode中的主要功能代码shellcode（可提权代码） 对于一个漏洞来说，ShellCode就是一个用于某个漏洞的二进制代码框架，有了这个框架你可以在这个ShellCode中包含你需要的Payload.

title: ctfshow XSS专题date: 2020-12-21 23:09:00categories: ctfshowlink：https://yq1ng.github.io/因为我不太会xss，所以写的可能不是很顺畅，也会罗嗦一点，师傅们轻喷XSS预备知识0x00 什么是xss？0x01 xss危害0x02 xss三种分类web316web317 | 318 | 319web320 | 321 | 323 | 324 | 325 | 326web322小总.

title: ctfshow SSRF专题date: 2020-12-30 11:49:30categories: ctfshow新博客地址：https://yq1ng.github.io/随缘更SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）web351web.

title: ctfshow JWT 专题date: 2020-12-29 15:31:47categories: ctfshowcsdn随缘更新了JWT(json web token)跨域认证解决方案，入门教程web345web346web347web348web345没加密，直接伪造，推荐网站：https://jwt.io/web346有加密，不能爆破，改算法为none，sub为admin即可web347弱口令，盲猜：123456web348C语言爆破工具.

目录信息搜集web5web6web14web16web19web20爆破web21命令执行（RCE）web31web32-36web37/39web38web40web41web42web52web54web55web56sqlweb174web175信息搜集web5php文件泄露，访问index.phpsweb6常见文件备份参见此博客web14泄露重要(editor)的信息 直接在url后面添加/editorweb16payload:/tz.php --> 雅黑PHP探针PHP探