Splendid Future
2023
07
15
序列化与反序列化 序列化与反序列化
序列化与反序列化 原理:参考文章 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。
2023-07-15 矢坕
web原理讲解
13
Unicode欺骗和flask结构的session伪造 Unicode欺骗和flask结构的session伪造
[HCTF 2018]admin 1 ps:第一眼看到这题,我的思路是通过二次注入去修改admin的密码从而获取flag的,因为确实和sqli-lab的那题太像了,但是好像做不到,网上也没有这样的做法,但是思路是和要讲的Unicode欺骗
2023-07-13 矢坕
web原理讲解
12
WAF绕过做题记录1 WAF绕过做题记录1
WAF绕过专题 ps:作为一题比较基础的waf绕过需要记录一下,在sqli-labs里没有好好研究 WAF,全称:Web Application Firewall ,译为Web应用防护墙。WAF是通过执行一系列针对HTTP/H
2023-07-12 矢坕
waf绕过
12
文件上传做题记录1 文件上传做题记录1
文件上传漏洞专题 0x01 [极客大挑战 2019]Upload 1这里只记录一个新的图片木马的写法:参考链接 0x02 [SUCTF 2019]CheckIn 1 记录一下.user.ini文件的用处,php.ini是php的一个全局配置
2023-07-12 矢坕
file upload
11
命令注入做题记录1 命令注入做题记录1
命令注入专题 0x01 [ACTF2020 新生赛]Exec 1(命令注入) 对于a & b,既执行a的命令也执行b的命令,将任务置于后台执行; 对于a && b,在a执行成功的情况下执行b,a执行失败就不会执行b,
2023-07-11 矢坕
commend injection
11
sqli注入做题记录1 sqli注入做题记录1
sqli注入专题 0x01 [强网杯 2019]随便注 1(堆叠注入) ps:不是我就在想啊靶场是什么玩意啊,实战题都是什么牛马啊,我不理解并且大为震撼怎么会有这么多的注入姿势啊???直接给出参考链接这个最全了四个方法:1、预编译拼接法2、
2023-07-11 矢坕
sqli injection
11
文件包含做题记录1 文件包含做题记录1
文件包含专题 0x01 [ACTF2020 新生赛]Include 1(文件包含) 这题涉及到文件包含的小知识点 php://filter与包含函数结合时,php://filter流会被当作php文
2023-07-11 矢坕
file included
10
buuctf刷题记录 buuctf刷题记录
buuctf刷题记录1: ps:本来以为刷完靶场能会做一些题目,但是还是太天真了,题目和靶场压根不是一回事,道阻且长QAQ,还是继续做题吧……不过看起来pwn和web还是差很多的,如果pwn少写几步博客就完全看不懂,于是我决定从这篇博客开
2023-07-10 矢坕
web做题记录 文件包含 命令注入 模板注入 正则匹配
06
DVWA部分解析 DVWA部分解析
DVWA靶场解析 ps:有好长一段时间没有学web了,一个月都在准备各种考试 QAQ,这几天花了点时间把kali虚拟机搭了一下,顺带着说dvwa靶场我是在kali里刷的,搭这个玩意着实麻烦……,但好处是不用再下工具了,kali就是为web渗
2023-07-06 矢坕
web靶场攻略
04
25
upload-labs通关解析 upload-labs通关解析
upload-labs 文件上传漏洞原理 本文源码可能与网上的不太一样导致关卡有些错乱,如果你的第五关和我的不一样,那么我的第5关就是你的第6关,依次类推到第9关 产生条件1.服务器配置不当会导致任意文件上传2.web应用开放了文件上传的功
2023-04-25 矢坕
web靶场攻略
2 / 4