蜗蜗侠's Blog-关注网络安全移动版

  • XSS绕过某盾

    日期:2019-11-09 11:30:33 点击:170 好评:0

    这款waf更新的很快,年前有个bypass注入的视频,提到waf对cookie检查不严,过段时间waf就更新。我写这种本地测试bypass文章时,总有感觉就是自嗨,这对实战有没有意义,我还记得搞xss绕过,是因为我在x某个webshell箱子时,D盾拦截了,我就开始研究了一波绕过...

  • 手机抓不到包?解决很简单!

    日期:2019-10-11 00:37:00 点击:143 好评:0

    本文通过Charles解决手机抓不到包的问题及其使用过程中可能存在的一些问题。...

  • 从一道高质量的ctf题中看渗透测试

    日期:2019-03-11 09:46:11 点击:88 好评:0

    最近做了一道质量挺不错的ctf题,涉及web渗透、sql注入、csrf、权限提升等知识点,所以特地重新自己搭了个环境复现了一下这道高质量的ctf题分享给大家,并谈谈一些个人的感悟。...

  • 从一道题看imap_open() RCE

    日期:2019-03-01 16:30:27 点击:79 好评:0

    本题为2019安恒2月月赛的my email,从漏洞点发现到getshell还是有点意思的,以下是记录...

  • 2019安恒2月月赛Writeip-Web&Crypto&Misc

    日期:2019-03-01 16:29:02 点击:149 好评:0

    2019安恒2月月赛Writeip-Web&Crypto&Misc...

  • CTF 中遇到的SQL注入新型万能密码问题

    日期:2018-10-08 10:31:37 点击:127 好评:0

    0x00. 引言 我们平时遇到的SQL注入万能密码都是形如admin or 1=1, 这种使用or 关键字使得查询结果永真,或者形如: UNION Select 1,1,1 FROM admin Where =,这种使用union使得查询结果永真, 但是有一次我在CTF的比赛中遇到的SQL注入问题,使用这两种万能密...

  • 2018安恒杯 - 9月月赛Writeup

    日期:2018-09-28 11:28:56 点击:118 好评:0

    前言 中秋放假,做了一下安恒月赛,记录一下题解 Web1 首先弱密码爆进后台 admin admin123 看到突兀的字体 一看就是出题人留下的了 探寻了一遍功能 发现添加图片处也有这种字体 很容易联想到漏洞点,于是开始代码审计 下载 http: //101.71.29.5:10013/web/Yo...

  • CTF中几种通用的sql盲注手法和注入的一些tips

    日期:2018-09-28 09:22:46 点击:101 好评:0

    0x00 前言 在ctf比赛中难免会遇到一些比较有(keng)趣(die)的注入题,需要我们一步步的绕过waf和过滤规则,这种情况下大多数的注入方法都是盲注。然而在盲注过程中由于这些过滤规则不太好绕过,这时候就会无从下手,下面分享一下自己在比赛中总结几种比较通用...

  • phpmyadmin - getshell

    日期:2018-07-25 15:16:46 点击:191 好评:0

    前段时间写了个phpmyadmin提权的教程,很多人都说现在那里还有root帐号root密码这种弱口令,今天给大家来一套完整的教学。...

  • 我的WAF Bypass实战系列

    日期:2018-07-25 15:02:06 点击:103 好评:0

    08年初诞生了一种SQL群注攻击,黑客在全球范围内对asp,asp.net加MSSQL架构的网站进行了疯狂扫荡。由于MSSQL支持多语句注入,黑客通过一条结合游标的SQL语句就能将整个数据库的字段内容自动进行篡改,可以在网站上无差别的进行网页木马攻击。 互联网是快速更...