实验:靶机、CTF等
文章平均质量分 93
题目分析
在下小黄
我是小黄,拥有三项专利(两项实用新型 ,一项国家发明专利),拿过海尔创护大赛三等奖,目标安全工程师。
拒绝水文从我做起 !! !!
展开
-
手把手教你通关 SQLi - labs 1~5 关
Background -1 SQL注入基础知识Less -1 基于错误的GET单引号字符型注入手工注入:代码审计:检查完源码之后,我们发现这里传递参数的单引号出现了问题,我们可以尝试进行注入。<?php//including the Mysql connect parameters.include("../sql-connections/sql-connect.php");error_reporting(0);// take the variables if(isset($_G原创 2021-09-09 09:52:54 · 450 阅读 · 0 评论 -
vulnhub靶机 | DriftingBlues:7
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:vulnhub靶机 | DriftingBlues:7 靶机解题过程及思路微信公众号回复:【靶机】,即可获取本文全部涉及到的工具。创建时间:2021年6月7日软件: MindMaster Pro、kali、DriftingBlues:7靶机DriftingBlues:7靶机解题过程及思路前言:信息搜原创 2021-06-07 19:20:12 · 1031 阅读 · 10 评论 -
CTF 小白教程《从0到1:CTFer成长之路》SQL - 2 解题过程
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! !今天更新的是:小白教程《从0到1:CTFer成长之路》结题过程《从0到1:CTFer成长之路》书籍配套题目,点击即可打开 - 实验环境(i 春秋 需要登录)微信公众号回复:【CTF】,即可获取本文全部涉及到的工具。创建时间:2021年5月30日软件: MindMaster Pro、kali这里写目录标题CTF中原创 2021-06-07 11:31:22 · 2386 阅读 · 1 评论 -
P1 PikaChu_暴力破解
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P1 PikaChu_暴力破解往期检索:程序设计学习笔记——目录创建时间:2021年3月16日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器先放一张思维导图,大致知道操作系统的具体功能和目标,然后再一一展开叙述。P1 PikaChu_暴力破解前言:一级目录二级目录三级目录前言:WEB源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用原创 2021-03-20 18:04:05 · 2906 阅读 · 7 评论 -
P2 PikaChu_SQL注入
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P2 PikaChu_SQL注入往期检索:程序设计学习笔记——目录创建时间:2021年3月16日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器先放一张思维导图,大致知道操作系统的具体功能和目标,然后再一一展开叙述。P2 PikaChu_SQL注入前言:1. 数字型漏洞:漏洞分析:漏洞利用:2. 字符型注入漏洞分析:漏洞利用:前言:在owasp发布的原创 2021-03-16 21:19:00 · 1559 阅读 · 6 评论 -
P3 PikaChu_XSS跨站脚本漏洞
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P3 PikaChu_XSS跨站脚本漏洞往期检索:程序设计学习笔记——目录创建时间:2021年3月16日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器P3 PikaChu_XSS跨站脚本漏洞前言1. 反射型XSS(GET)漏洞分析漏洞利用2. 反射型XSS(POST)3. 存储型XSS漏洞分析4. DON型XSS漏洞分析5. DOM型XSS-X漏洞分析前言原创 2021-03-16 20:22:58 · 591 阅读 · 3 评论 -
P4 PikaChu_不安全的文件上传漏洞
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P4 PikaChu_不安全的文件上传漏洞往期检索:程序设计学习笔记——目录创建时间:2021年3月16日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器P4 PikaChu_不安全的文件上传漏洞前言一、client check 客户端验证漏洞分析绕过姿势方法1 利用插件禁用JS脚本方法2 通过 Burp Suite 抓包来修改后缀二、MIME type 服务端验原创 2021-03-21 19:04:00 · 2494 阅读 · 8 评论 -
P5 PikaChu_XXE(XML外部实体注入漏洞)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P5 PikaChu_XXE(XML外部实体注入漏洞)往期检索:程序设计学习笔记——目录创建时间:2021年3月22日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器PikaChu_XXE前言:一、 XML语法结构:二、漏洞分析:三、漏洞利用:四、查看php源代码:五、爆破开放端口:前言:XXE -“xml external entity injection原创 2021-03-22 18:31:19 · 405 阅读 · 6 评论 -
P6 PikaChu_Unsafe Filedownload 不安全的文件下载
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P6 PikaChu_Unsafe Filedownload 不安全的文件下载往期检索:程序设计学习笔记——目录创建时间:2021年3月23日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器Unsafe Filedownload 不安全的文件下载前言漏洞分析漏洞利用前言不安全的文件下载概述: 文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便原创 2021-03-23 17:09:23 · 307 阅读 · 1 评论 -
P7 PikaChu_PHP反序列化
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P7 PikaChu_PHP反序列化往期检索:程序设计学习笔记——目录创建时间:2021年3月23日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器PHP反序列化前言序列化:serialize( ) 函数反序列化unserialize( ) 函数漏洞分析文章参考前言首先我们要理解什么叫做序列化和反序列化序列化(serialize):是将变量或对象转换原创 2021-03-23 19:22:56 · 283 阅读 · 4 评论 -
P8 PikaChu_Over Permission越权
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P8 PikaChu_Over Permission越权往期检索:程序设计学习笔记——目录创建时间:2021年3月23日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器这里写目录标题前言一、水平越权漏洞分析、利用第二种方法尝试一下二、垂直越权漏洞分析、利用前言如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。原创 2021-03-23 20:42:42 · 321 阅读 · 0 评论 -
P9 PikaChu_CSRF(跨站请求伪造)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P9 PikaChu_CSRF(跨站请求伪造)往期检索:程序设计学习笔记——目录创建时间:2021年3月24日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器CSRF 跨站请求伪造前言:场景模拟:一、CSRF(get)漏洞分析二、CSRF(post)三级目录三、CSRF Token三级目录前言:Cross-site request forgery 简称为“C原创 2021-03-24 21:18:21 · 2208 阅读 · 8 评论 -
P10 PikaChu_RCE
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P10 PikaChu_RCE往期检索:程序设计学习笔记——目录创建时间:2021年3月25日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器RCE前言:一、exrc " ping "漏洞分析一、exrc " evel "漏洞分析前言:RCE(remote command/code execute)概述 :RCE漏洞,可以让攻击者直接向后台服务器远程注入操作原创 2021-03-27 16:01:00 · 365 阅读 · 2 评论 -
P11 PikaChu_File Inclusion(文件包含漏洞)
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P11 PikaChu_File Inclusion(文件包含漏洞)往期检索:程序设计学习笔记——目录创建时间:2021年3月27日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器File Inclusion 文件包含漏洞前言:一、File Inclusion(local)漏洞分析尝试爆破一下隐藏文件尝试读取系统文件尝试结合文件上传getshell二、File I原创 2021-03-28 17:06:42 · 1709 阅读 · 6 评论 -
P12 PikaChu_目录遍历漏洞
大家好!我是小黄,很高兴又跟大家见面啦 !拒绝水文,从我做起 !!!!今天更新的是:P12 PikaChu_目录遍历漏洞往期检索:程序设计学习笔记——目录创建时间:2021年3月28日软件: MindMaster Pro 、Burp Suite Pro 、火狐浏览器目录遍历漏洞前言漏洞分析前言在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执原创 2021-03-28 18:01:36 · 336 阅读 · 0 评论