因上努力 果上求缘
【XSS-Game】 Level 4 - Context matters 【XSS-Game】 Level 4 - Context matters
来源:XSS-Game 题目:Level 4 - Context matters 输入任意数值 n ,页面会阻塞计时 n 秒。 输入一个较大的数值让页面停留在计时页面,然后查看页面源码可以看到 JS 代码。 从 JS 代码可以找到注
2020-09-30 CTF
解题报告 CTF XSS-Game
【XSS-Game】 Level 3 - That sinking feeling... 【XSS-Game】 Level 3 - That sinking feeling...
来源:XSS-Game 题目:Level 3 - That sinking feeling… 点击三个 Image X 按钮,发现页面会输出不同的图片,URL 末尾的数字也随之变化。 尝试在 URL 输入自定义的内容,发现页面会回显一
2020-09-28 CTF
解题报告 CTF XSS-Game
【XSS-Game】 Level 2 - Persistence is key 【XSS-Game】 Level 2 - Persistence is key
来源:XSS-Game 题目:Level 2 - Persistence is key 水题,明显是存储型 XSS 。 提交 <img src=0 />发现页面直接解析了 直接构造 payload 即可: <img
2020-09-22 CTF
解题报告 CTF XSS-Game
【XSS-Game】 Level 1 - Hello, world of XSS 【XSS-Game】 Level 1 - Hello, world of XSS
来源:XSS-Game 题目:Level 1 - Hello, world of XSS 水题。 在 Search 框输入任意内容,如 exp,会跳转到输出页面 ?query=exp,并把搜索内容回显到页面。 测试输入 <im
2020-09-21 CTF
解题报告 CTF XSS-Game
供应商是如何一层一层一层地拿下项目经理的 供应商是如何一层一层一层地拿下项目经理的
0x10 前言本文引用的案例都是切实发生过的,主要以国内供应商居多,国外代理商也有类似情况,但是相对会少。 他们最终的目标就是通过非正常途径中标,只要未签合同你就是爸爸,但是签了合同什么都不好说,甚至还可能把公司很多信息都套走。 另外,以下
2020-09-18 安全
社会工程
CVE-2020-13933 漏洞分析 CVE-2020-13933 漏洞分析
Apache Shiro < 1.6.0 身份验证绕过漏洞: Apache Shiro 是一个强大且易用的 Java 安全框架,执行身份验证、授权、密码和会话管理,通常会和 spring 等框架一起搭配使用来开发 web 应用
2020-09-09 安全
CVE 漏洞分析
trojan 睁眼看世界教程 trojan 睁眼看世界教程
trojan 简介trojan 是近两年兴起的科学上网工具,项目源码为 https://github.com/trojan-gfw。 与强调加密和混淆的 SS/SSR 等工具不同,trojan 将通信流量伪装成互联网上最常见的 HTTPS
2020-08-28 网络协议
VPS trojan
各种语言的一句话反弹 shell 命令 各种语言的一句话反弹 shell 命令
攻击主机先监听端口最简单的脚本可以用 nc : nc -lvvp 9527 被攻击主机连接到服务端口一般都需要通过 RCE、 webshell 等方式在被攻击机执行以下命令,具体怎么做就要看水平了: JAVARuntime.getRunti
2020-08-17 安全
渗透 反弹shell
【prompt(1) to win】 Level H1 - Hoisting 【prompt(1) to win】 Level H1 - Hoisting
来源:prompt(1) to win 题目:Level H1 - Hoisting 题目(隐藏关卡)function escape(input) { // WORLD -1 // strip off certain
2020-08-05 CTF
解题报告 CTF prompt(1) to win
【prompt(1) to win】 Level F - Length2 【prompt(1) to win】 Level F - Length2
来源:prompt(1) to win 题目:Level F - Length2 题目function escape(input) { // sort of spoiler of level 7 input = inp
2020-08-04 CTF
解题报告 CTF prompt(1) to win
【prompt(1) to win】 Level E - Base64 【prompt(1) to win】 Level E - Base64
来源:prompt(1) to win 题目:Level E - Base64 题目function escape(input) { // I expect this one will have other solutions
2020-08-02 CTF
解题报告 CTF prompt(1) to win
【prompt(1) to win】 Level D - Json Object 【prompt(1) to win】 Level D - Json Object
来源:prompt(1) to win 题目:Level D - Json Object 题目function escape(input) { // extend method from Underscore library
2020-07-30 CTF
解题报告 CTF prompt(1) to win
9 / 36