网络攻防比赛PHP版本WAF
这次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打。
本文由Hack Blog原创,如需转载注明原文链接
这次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打。
本文由Hack Blog原创,如需转载注明原文链接
现在有个攻击场景,就是你拿到了linux外网服务器的webshell,要做内网渗透前肯定要收集信息。其中可以做的一个工作是重新编译ssh来记录管理员的密码信息,信息可以用来撞其他机器的密码。下面就从linux的提权开始。
本文由Hack Blog原创,如需转载注明原文链接
上次360的ctf出现了is_numeric这个函数的绕过。上网查了下都是绕过后执行sql的。现在比赛比完了就记录下这个函数。
本文由Hack Blog原创,如需转载注明原文链接
工欲善其事,必先利其器,下面这些套件或者小工具,可以对app造成成吨伤害。所以说,上吧!
本文由Hack Blog原创,如需转载注明原文链接
主要记录两个函数,一个是strcmp(),一个是mb_ereg_replace()
本文由Hack Blog原创,如需转载注明原文链接