出题的难易程度适中,比较青少年年龄段的CTF选手解题,但是也有些题存在不少脑洞。最后的话我们队(我,烨师傅,lxy师傅)是取得了线上选拔赛的第一名,种种原因没有去到线下赛。这次…
这次西电决赛总体来说题目难度不大,但是web题的难度很大,下半场两题web都是0解,其他题型都有很多师傅解出来,本次我一web选手竟然也做出了Re和密码学,然后在最后几分钟被…
0x00前言: 在偶尔进行渗透的过程中,对目标资产下存在的系统进行观察的时候,发现了两处逻辑漏洞,然后根据系统底部的版权信息利用搜索引擎一检索,两处通用漏洞就到手了,这里进行简单的一个记录…
很久时间没在脉搏写文章了,最近看了看年前提交CNVD的通用漏洞已经审核通过并修复了,加上平时在家也挺闲的,所以就打算写一篇文章来陶冶情操,打发下时间。先上一张CNVD的通用证书(大佬师傅…
内容大纲:一、文件解析漏洞二、上传本地验证绕过三、上传服务器端验证绕过四、漏洞高级玩法五、上传漏洞修复一、文件解析漏洞概念:黑客将恶意文件上传到服务器中解析漏洞主要说的是一些特殊文件被iis、apac…
一、CSRF介绍CSRF(Cross-site request forgery)全称“跨站请求伪造”,也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSR…
在渗透测试时,信息收集的全面性对于后期的渗透工作必为重要,甚至关联到能不能挖掘到漏洞,本篇文章从基本的信息收集方法进行详解,从根本上解决初、中级渗透测试人员不会收集网站信息的问题。内容大纲:一、基本信…