![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
CTFer
文章平均质量分 71
维梓-
这个作者很懒,什么都没留下…
展开
-
从0到1CTFer成长之路-第三章-反序列化漏洞-thinkphp5.1.*反序列化良心详细讲解
声明好好向大佬们学习!!!这个thinkphp的反序列化,第一次接触的时候,一个字都看不懂,把全网关于thinkphp反序列化的都看了一遍,总算理解了百分之五六十了,然后把这个心酸、艰辛的历程记录下来,要想吃透thinkphp反序列化,一定要先明白php的反序列化,多看几个php反序列化的例子,最好自己写出一个demo(很简单,网上一大堆)攻击摘自https://book.nu1l.com/tasks/#/使用BUUCTF在线环境https://buuoj.cn/challenges访问原创 2021-03-18 17:47:33 · 6588 阅读 · 12 评论 -
从0到1CTFer成长之路-第三章-逻辑漏洞
声明好好向大佬们学习!!!攻击逻辑漏洞摘自https://book.nu1l.com/tasks/#/使用BUUCTF在线环境https://buuoj.cn/challenges访问http://3e95fcac-6f75-4037-82c4-b13e38bb3220.node3.buuoj.cn是个炫酷的登录页面,本来还以为是通过任意用户注册,或者Session等,谁知道直接点提交,就能登进去买书点击提交后,看到了买书的页面映入眼帘的三本书第一本flag,2000块原创 2021-03-18 17:47:39 · 1493 阅读 · 0 评论 -
从0到1CTFer成长之路-第三章-Python的安全问题
声明好好向大佬们学习!!!攻击Python里的SSRF摘自https://book.nu1l.com/tasks/#/使用BUUCTF在线环境https://buuoj.cn/challenges访问http://e9fdde38-8e19-4e73-ab14-517824da6772.node3.buuoj.cn下图提示,url参数是需要的,那就是,再看上图中,提示访问容器内部的8000端口和后面的接口,那其实就是访问自己的8000下的这个URL,也就是http://127.原创 2021-03-18 17:47:26 · 329 阅读 · 0 评论 -
从0到1CTFer成长之路-第二章-Web文件上传漏洞
Web文件上传漏洞声明好好向大佬们学习!!!攻击文件上传漏洞摘自https://book.nu1l.com/tasks/#/使用BUUCTF在线环境https://buuoj.cn/challenges访问http://3e8b5e24-d936-4a8f-9d1b-15ee36321db8.node3.buuoj.cn一个上传文件功能,随便点点看,点到了提交查询,发现只能上传zip、jpg、gif、png,看看怎么绕过过滤上传我的文件上传本来就薄弱,这个题也确实很打击我.原创 2021-03-01 08:55:51 · 3569 阅读 · 6 评论 -
从0到1CTFer成长之路-第二章-XSS的魔力
XSS的魔力声明好好向大佬们学习!!!攻击XSS的魔力这简直就是一场javascript的代码审计心酸历程摘自https://book.nu1l.com/tasks/#/https://blog.csdn.net/hxhxhxhxx/article/details/112784856https://blog.csdn.net/rfrder/article/details/108930033使用BUUCTF在线环境https://buuoj.cn/challenges都是用谷歌浏.原创 2021-03-01 08:55:39 · 783 阅读 · 0 评论 -
从0到1CTFer成长之路-第二章-命令执行漏洞
命令执行漏洞声明好好向大佬们学习!!!攻击命令执行漏洞摘自https://book.nu1l.com/tasks/#/使用BUUCTF在线环境https://buuoj.cn/challenges注意,这一节,需要一台公网服务器用于反弹shell,贴心的BUUCTF还给我们准备了和靶机在同一网段内网的服务器,但是,一个账号只能创建一个容器,所以我们需要两个账户,我这里就是重新用邮箱创建了一个账户,一个账户开靶机,一个账户开服务器靶机开启访问发现,是一个ping功能,我们的目标就.原创 2021-03-01 08:55:32 · 649 阅读 · 2 评论 -
从0到1CTFer成长之路-第二章-SSRF漏洞
SSRF漏洞声明好好向大佬们学习!!!攻击SSRF Training摘自https://book.nu1l.com/tasks/#/使用BUUCTF在线环境https://buuoj.cn/challenges访问http://72b1f71b-d44d-4562-8bac-db517053ebc4.node3.buuoj.cn还挺像素的,点了一圈都没用,也就intersting challenge能点,点击出现源码,其实大概一看,这里应该就是通过网页提交url获取flag的.原创 2021-03-01 08:55:25 · 736 阅读 · 0 评论 -
从0到1CTFer成长之路-第一章-CTF中的SQL注入
CTF中的SQL注入声明好好向大佬们学习!!!攻击https://book.nu1l.com/tasks/#/pages/web/1.2SQL注入-1kali执行vim docker-compose.yml内容如下version: '3.2'services: web: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-sql-1:latest ports: - 80:80开启docker.原创 2021-03-01 08:55:06 · 1916 阅读 · 0 评论 -
从0到1CTFer成长之路-第一章-任意文件读取漏洞
任意文件读取漏洞声明好好向大佬们学习!!!攻击afr_1kali执行vim docker-compose.yml内容如下version: '3.2'services: web: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-information-backk:latest ports: - 80:80开启dockerdocker-compose up -d访问80http://192.原创 2021-03-01 08:48:39 · 1293 阅读 · 2 评论 -
从0到1CTFer成长之路-第一章-举足轻重的信息搜集
信息搜集声明好好向大佬们学习!!!攻击信息搜集https://book.nu1l.com/tasks/#/pages/web/1.1kali执行vim docker-compose.yml内容如下version: '3.2'services: web: image: registry.cn-hangzhou.aliyuncs.com/n1book/web-information-backk:latest ports: - 80:80开启dock.原创 2021-02-26 15:52:41 · 1363 阅读 · 0 评论