E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
swallow代码审计
cbc位反转攻击
2、对出题人发布的部分题目源码进行
代码审计
,发现如下问题(1)根据输入的的字符串不同,会有三条路走,之前随便输入的字符串,走的是第三条路。
tallku
·
2020-08-14 01:09
RSA
不过没有关系,请接着往下看)2、对出题人发布的题目源码进行
代码审计
,发现交互界面给出的是c1,e,n1,c2,e,n2p=getPrime(1024)q=getPrime(1024)e=65537n1=
tallku
·
2020-08-14 01:09
BugkuCTF-Web-变量1
根据最后一句代码:var_dump()可知,这是
代码审计
。。于是。。。于是。。。我想起了PHP里面的一个超级全局变量GLOBALS。
烟雨天青色
·
2020-08-14 01:20
CTF
审计代码(攻防世界 web simple_js)
可算刷到web新手区最后一题了,终于上了
代码审计
。题目描述:小宁发现了一个网页,但却一直输不对密码。
_n19hT
·
2020-08-13 22:33
#
web
2月月赛出题记录
其实还是有点仓促的,没有什么积累,中间还有半个月寒假,完全没学习…是放假前看红日安全团队的那个
代码审计
项目的时候,想到可以拿这个来出个题目(Day6)。
youGuess28
·
2020-08-13 15:48
出题
Java学习之反射篇
Java学习之反射篇0x00前言今天简单来记录一下,反射与注解的一些东西,反射这个机制对于后面的java反序列化漏洞研究和
代码审计
也是比较重要。
nice_0e3
·
2020-08-13 04:00
VCG(VisualCodeGrepper)安装使用教程
转载:https://www.cnblogs.com/lsdb/p/9370391.html一、说明
代码审计
工具看来还是比较难做,一是开源的
代码审计
工具少,二是原本的一些开源审计工具很多都不更新甚至不能使用了
小段大帅
·
2020-08-12 18:17
白帽子成长之路 (2019.2.6)
白帽子成长之路(2019.2.6)白帽子成长之路本人学习之路的总结,会不定时更新方向web安全渗透测试无线安全漏洞挖掘
代码审计
安卓/ios安全逆向密码学linux内核LoT安全就业(参考)渗透测试工程师
weixin_30449453
·
2020-08-12 13:24
i春秋web-Backdoor(.git泄露、vim备份泄露、
代码审计
)
1、文件泄露根据题目tips:敏感文件泄漏网站目录扫描,发现.git泄露,下载git文件夹,在bd049e_flag.php中看到:然后就访问这个网页看到:是让我们找他的源码的,网页源码里面没什么线索,那就可能是备份文件泄露了,访问.b4ckdo0r.php.swo,果然得到了备份文件,然后就是用vim恢复了。恢复方法:在b4ckdo0r.php.swo同一文件夹下,使用命令vim-rb4ckdo
N0Sun諾笙
·
2020-08-11 20:44
i春秋
Web源码泄露
PHP
【漏洞练习-Day4】DeDecms V5.7SP2正式版 任意用户密码重置漏洞
开始练习【红日团队】的PHP-Audit-Labs
代码审计
Day4链接:https://github.com/hongriSec/PHP-Audit-Labs感兴趣的同学可以去练习练习预备知识:内容题目均来自
sec_pz
·
2020-08-11 19:10
技术
代码审计
--1--
代码审计
基础
在
代码审计
工作中,我们常常要借助一些自动化的工具来解决部分显式的问题,而人工审计更多的是在于弥补工具的不足。
随 亦
·
2020-08-11 19:07
代码审计
代码审计
--14--CSRF漏洞
1、漏洞描述漏洞描述:Cross-SiteRequestForgery(CSRF),跨站请求伪造攻击。攻击者在用户浏览网页时,利用页面元素(例如img的src),强迫受害者的浏览器向Web应用程序发送一个改变用户信息的请求。由于发生CSRF攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕虫攻击。CSRF攻击可以从站外和站内发起。从站内发起CSRF攻击,需要利用网
随 亦
·
2020-08-11 19:07
代码审计
攻防世界web进阶区16-20题 write up
wp文章目录攻防世界web进阶区16-20题wp16、shrine17、lottery18、mfw19、web220、fakebook16、shrine1、进入内容如下所示:2、整理代码,对如下的代码做
代码审计
Yzai
·
2020-08-11 18:33
CTF习题write
up
暑期练习web15:web login(i春秋)百度杯十月
代码审计
让我们登陆,查看源码发现了一个提示:于是就当用户名和密码输进去了,果然成功登陆但登陆后就只有一个表情:(╯‵□′)╯︵┴─┴然后源码什么都没得,没有思路的情况下,自然用burpsuite抓包来看一看有没有什么信息在这个页面我们发现了一个奇怪的参数show,把他加到请求头并令他为1试试(这一步直接在bp左边加也行。。我那时候吃饭去了,回来就直接在控制台弄的)然后就会出现一段代码,接下来又是熟悉的代码
何家公子
·
2020-08-11 17:08
ctf
web
YCCMS 3.3 CSRF漏洞--代码执行
一、启动环境1.双击运行桌面phpstudy.exe软件2.点击启动按钮,启动服务器环境二、
代码审计
1.双击启动桌面Seay源
代码审计
系统软件2.点击新建项目按钮,弹出对画框中选择(C:\phpStudy
浅笑⁹⁹⁶
·
2020-08-11 17:21
漏洞复现
代码审计
之Catfish CMS v4.5.7后台作者权限越权两枚+存储型XSS一枚
首先本地搭建环境,我所使用的是WindowsPHPstudy集成环境。使用起来非常方便。特别是审计的时候。可以任意切换PHP版本。本文作者:226safeTeam–Poacher0×01CMS简介:开源免费的PHP内容管理系统,不需要高深专业技术轻松搭建网站,使用简单灵活方便稳定快捷,风格切换想换就换适应不同需求。0×00正文:漏洞所在处:/application/admin/controller
dfdhxb995397
·
2020-08-11 16:35
Xss
代码审计
基础
介绍跨站点脚本(XSS)是当今Web应用程序中最普遍的漏洞之一。在没有源代码的情况下进行黑匣渗透时,我们通常会通过将有效负载插入到各处输入框中并等待弹框出现来证明漏洞存在当然还有盲插。如果我们能拿到源代码,则查找XSS漏洞可以更快,更轻松。XSS基础在搜索XSS漏洞时,该漏洞在所有编程语言中其实都差不多。如果某个应用程序将用户提供的输入放在浏览器中而不验证输入或清除该输入,则它们很可能会受到XSS
K'illCode
·
2020-08-11 15:35
hack
PHP
代码审计
--Challenge7
题目代码';highlight_string($content);echo'';}if(isset($_GET['pass'])){if(!preg_match('/^[^\W_]+$/',$_GET['pass'])){//限制输入只能是字母或数字$output="Don'thackmeplease:(";}else{$pass=md5("admin1674227342");//输入不能与MD5
D-R0s1
·
2020-08-11 15:33
PHP代码审计
php
代码审计
--无数字字母构造webshell
前言这篇文章在写的时候我查阅了许多资料也参考了很多师傅的博客,尽我所能的搞懂这个知识点以及要完成这个操作所需要的相关知识。在搞明白以后,回过头来看,其实也没有当初那样晦涩难懂,只是初学起来会因为知识储备不够而走入思维的误区。网上也有很多的相关资料,但我还是想把这篇文章分享出来,并不是因为我总结的有多好,见解有多深刻,而是每个人在遇到这个问题的时候思维不一样,知识储备不一样,走入的误区也不一样。自己
D-R0s1
·
2020-08-11 15:02
PHP代码审计
PHP
代码审计
--Challenge6
题目代码'',';'=>'','|'=>'','-'=>'','$'=>'','('=>'',')'=>'','`'=>'','||'=>'',);$target=str_replace(array_keys($substitutions),$substitutions,$target);$cmd=shell_exec('ping-c4'.$target);echo$target;echo"{$c
D-R0s1
·
2020-08-11 15:30
PHP代码审计
[
代码审计
][攻防世界][NSCTF]Web2
打开题目,哦
代码审计
啊,看着要解密的亚子,看我的笔记吧按照要求我写了个解密脚本:
Y4tacker
·
2020-08-11 15:22
#
PHP代码审计
#
Web
#
CTF记录
[
代码审计
][备份泄露][时间盲注]CTFSHOW----WEB15(不会做以后补充)
文章目录备份文件
代码审计
备份文件首先题目hint里面说了是源码泄露,我自己随便输入也发现了www.zip,但是还是走流程吧,用dirsearch工具,从这里我们也能发现突破口
代码审计
首先这是它给的压缩包
Y4tacker
·
2020-08-11 15:21
安全学习
#
Web
#
CTF记录
[
代码审计
][HCTF 2018]WarmUp与CVE-2018-12613
WPCVE-2018-12613前言在request请求当中就会被url解码一次,这就是接下来为什么会需要两次编码绕过WP打开靶机看到一个滑稽图片,审查元素发现有个source.php访问发现需要我们进行
代码审计
Y4tacker
·
2020-08-11 15:21
安全学习
#
PHP代码审计
#
Web
CTF平台题库writeup(四)--BugKuCTF-
代码审计
(14题详解)
1、extract变量覆盖知识点:变量覆盖file_get_contents():将整个文件读入一个字符串trim()去除字符串两侧的空格或者指定字符trim('string','stringyouwanttodelete')$_GET:表示等一下提交变量时,URL通过get的方式传参,传输的数据以数组的形式被封装在$_GET中。extract():从数组中将变量导入到当前的符号表。该函数使用数组
CTF-学习呀
·
2020-08-11 15:45
bugku
CTF
信息安全
安全
BugKuCTF------
代码审计
模块
1.extract变量覆盖分析代码可得知,extract()函数,是直接处理get表单传过来的数据。即可说明$shiyan还有$content可能就是由GET表单一起传过来的。就算$content不是GET传过来的,但是他没有对$content特殊说明,那么我们就可以利用其是GET传来的,而下面的判断$content和$shiyan相等,所以payload如下:2.strcmp比较字符串0;如果两
南人旧心1906
·
2020-08-11 13:22
ctf
bugku-
代码审计
writeup
代码审计
在做bugku
代码审计
的题时,发现有好多函数的绕过是之前没留意到的,记录一下1.extract变量覆盖题目地址:http://120.24.86.145:9009/1.phpextract()使用参考
Peithon
·
2020-08-11 13:22
BugKu
西普实验吧ctf-web-Once More(
代码审计
)
题目地址:http://ctf5.shiyanbar.com/web/more.phpViewthesourcecode,又是一道
代码审计
:if(isset($_GET['password'])){if
dyw_666666
·
2020-08-11 11:41
#
——【
Code
Audit】
★
CTF
【Writeup】Boston Key Party CTF 2015(部分题目)
(以下是六道php
代码审计
题目)1.PrudentialIdon‘tthinkthatsha1isbroken.Provemewrong.代码如下:level1Invalidpassword.';}?
lymh
·
2020-08-11 10:06
其它记录
web安全:平行越权和垂直越权
左右暴风某站平行越权(用户敏感信息泄露)0x01:什么是越权越权访问漏洞指应用在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,可以利用一些方式绕过权限检查,访问或者操作到原本无权访问的高权限功能,在实际的
代码审计
中
无在无不在
·
2020-08-10 11:14
Web安全
2018先知白帽大会 | 议题解读
当然,还有
代码审计
圈的新锐phithon、jkgh006、廖新喜,在国际会议锤炼过的redrain、白小龙、蒸米、kevin2600,战斗在阿里一线的安全工程师菜丝、c
weixin_33841722
·
2020-08-10 11:09
[0CTF 2016]piapiapia
[0CTF2016]piapiapia源码泄露:www.zip发现注册页面,注册之后登录,提示更新信息使用Seay源
代码审计
的自动审计功能upload.php接收四个参数,分别是phome、email、
JKding233
·
2020-08-10 11:00
Web安全学习——
代码审计
入门
一、常见的
代码审计
工具1、FortifySCAFortifySCA是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结2、CheckmarxCxSuiteCheckmarxCxSuite
破壳野生喵
·
2020-08-10 04:27
一个CMS案例实战讲解PHP
代码审计
入门
前言php
代码审计
介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞。
weixin_33974433
·
2020-08-10 03:46
PHP
代码审计
CSRF 跨站请求伪造
一.CSRF是什么?CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。二.CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账..
AdministratorHack
·
2020-08-10 02:52
代码审计
WEB安全基础入门与
代码审计
视频课程
共计39节课,分为2部分讲解WEB安全基础入门与
代码审计
。
anquanlong
·
2020-08-09 17:54
安全课程
【漏洞练习-Day15】360webscan 使用$_SERVER['PHP_SELF']不当
开始练习【红日团队】的PHP-Audit-Labs
代码审计
Day15链接:https://github.com/hongriSec/PHP-Audit-Labs感兴趣的同学可以去练习练习预备知识:内容题目均来自
sec_pz
·
2020-08-08 01:47
技术
代码审计
方法与步骤
代码审计
方法与步骤一、审计前的准备(1)获得源码大多数PHP程序都是开源的、找到官网下载最新的源码包。(2)安装网站在本地搭建网站,一边审计一边调试。实时跟踪各种动态变化。
Frion_A
·
2020-08-08 00:18
文件上传之服务端绕过(upload-labs第二关)
文章目录第一章服务器端检测--MIME类型第二章
代码审计
-源代码第三章MIME服务器端绕过案例第一步上传.jpg文件上传成功查看图片第二步上传.php文件查看提示错误信息第三步使用burp抓包更改type
水中煮鱼冒气
·
2020-08-08 00:35
web渗透
高级PHP应用程序漏洞审核技术
高级PHP应用程序漏洞审核技术高级PHP应用程序漏洞审核技术前言传统的
代码审计
技术PHP版本与应用
代码审计
其他的因素与应用
代码审计
扩展我们的字典变量本身的key变量覆盖遍历初始化变量parse_str(
kenbli
·
2020-08-07 23:52
PHP開發
php
数据库
web安全
PHP
代码审计
:XSS漏洞
当你的才华还撑不起你的野心时那你就应该静下心来学习
代码审计
学习线上实验,都是CE一边实操,一边整理的笔记,方便以后翻看时,可快速查阅。
Agan '
·
2020-08-07 23:17
渗透测试
PHP
代码审计
渗透基础篇
Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
新手
代码审计
者往往对JavaWeb应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。
Java白楠楠
·
2020-08-07 21:02
java
mybatis
spring
mysql
python
网络安全入门到精通(总结篇) 最终篇(下)
验证码、密码找回漏洞9.越权漏洞10.SSRF11.支付漏洞12.XXE13.变量覆盖14.文件包含漏洞15.序列化16.Bypass绕过[SQL注入]17.Bypass绕过[Webshall]18.
代码审计
八
划水的小白白
·
2020-08-07 21:58
网安小白的成长路
CISAW-Web基础级考证——考前复习知识点大杂烩
当你的才华还撑不起你的野心时那你就应该静下心来学习明天要考CISAW-Web安全基础级证书,复习整理一下思路,明天考试目录sql注入时,使用sqlmap注入mysql和access数据库有什么不同sql注入命令执行:xss:csrfxxessrf
代码审计
Agan '
·
2020-08-07 11:00
Web
证书考试
VCG(VisualCodeGrepper)安装使用教程
转载:https://www.cnblogs.com/lsdb/p/9370391.html一、说明
代码审计
工具看来还是比较难做,一是开源的
代码审计
工具少,二是原本的一些开源审计工具很多都不更新甚至不能使用了
别先生
·
2020-08-06 11:00
为什么你的代码漏洞满天飞?看看这个
2019独角兽企业重金招聘Python工程师标准>>>※
代码审计
环境准备※漏洞挖掘和修复方法※功能怎么设计更安全※应用整体安全体系建设2015年11月,在每天都被问到什么时候能买到的情况下,我的个人原著
weixin_33872660
·
2020-08-06 10:20
Linux Glibc漏洞在线更新
1.漏洞背景
代码审计
公司Qualys的研究人员在glibc库中的__nss_hostname_digits_dots()函数中发现了一个缓冲区溢出的漏洞,这个bug可以经过gethostbyname*(
weixin_33825683
·
2020-08-06 10:49
代码审计
文章目录11.1.
代码审计
11.1.1.简介11.1.2.常用概念11.1.2.1.输入11.1.2.2.处理函数11.1.2.3.危险函数11.1.3.自动化审计11.1.3.1.危险函数匹配11.1.3.2
Sumarua
·
2020-08-06 10:50
Web安全学习笔记
自动化审计
处理函数
危险函数
手工审计流程
控制流分析
DDCTF2019-Web-homebrew event loop(python flask
代码审计
)
进入网站,有以下几个功能:1、查看源码2、商店购买diamonds3、重置Session4、回到主页刚开始是有3points,一个point可以买一个diamond,下面进行源码审计:fromflaskimportFlask,session,request,Responseimporturllibapp=Flask(__name__)app.secret_key='****************
N0Sun諾笙
·
2020-08-05 21:43
python代码审计
赛题复现
CTF学习
[De1CTF 2019]SSRF Me
[De1CTF2019]SSRFMe考察,
代码审计
源码如下关键处加了些许注释#!
h3zh1
·
2020-08-05 20:26
ctf-web
【学习笔记 22】 buu [GKCTF2020]CheckIN
0x00知识点任意文件写入漏洞,部分过滤的绕过0x01解题过程打开一看,
代码审计
Check_Incode=@$this->x()['Ginkgo'];//可以传参$this->decode=@base64
Noslpum
·
2020-08-05 20:45
网络安全
ctf
学习笔记
上一页
24
25
26
27
28
29
30
31
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他