0x01 preview
上个星期参加了某巨头厂商承办的挑战赛,比赛周期48小时,题目是成功渗透在安全宝保护下的五个通用cms靶场,其中包括论坛、商城、资源网站等
从靶场布置来看很明显是在测试安全宝对于几种不同类型cms的对攻击的防御能力。
这样的比赛模式区别于常见的CTF线上模式稍有不同,实战味道较强。常规的CTF在Web题目上面主要考察的是漏洞挖掘和利用,难点一般凸显在发现难和利...
分类:
其他好文 时间:
2016-07-02 13:20:15
阅读次数:
382
其实不是很爱搞Linux,但是因为CTF必须要接触一些,漏洞利用方面也是因为CTF基本都是linux的pwn题目。 基本的题目分类,我认为就下面这三种,这也是常见的类型。 ...
分类:
系统相关 时间:
2016-06-04 19:16:42
阅读次数:
1181
练习区 一个英文平台的CTF(难度较高, 分类较全):http://www.ringzer0team.com/HackGame2是由blackbap论坛开发的一套在线黑客闯关游戏:http://hackgame.blackbap.org/谷歌XSS漏洞测试游戏:http://xss-game.app ...
分类:
其他好文 时间:
2016-06-01 21:08:52
阅读次数:
785
此次CTF WEB2是一个大题,一共4个flag,分别代表:获取源码、拿下前台管理、拿下后台、getshell。 目标站:http://xdsec-cms-12023458.xdctf.win/ 根据提示: 0×01 获取源码 “时雨的十一 时雨是某校一名学生,平日钟爱php开发。 十一七天,全国人 ...
分类:
其他好文 时间:
2016-05-28 01:08:55
阅读次数:
281
一、控制台方法和属性 下面我们来一一介绍一下各个方法主要的用途。 一般情况下我们用来输入信息的方法主要是用到如下四个 1、console.log 用于输出普通信息 2、console.info 用于输出提示性信息 3、console.error用于输出错误信息 4、console.warn用于输出警 ...
分类:
其他好文 时间:
2016-05-25 20:51:38
阅读次数:
547
偶然看到的比赛,我等渣渣跟风做两题,剩下的题目工作太忙没有时间继续做。 第1题 sql注入: 题目知识 做题过程 第一步:注入Playload 第二步:注入效果 第三步:获取源码,得知用户名为flag,使用注入出的密码登录可得到flag 相关源码 http://101.200.145.44/web1 ...
分类:
Web程序 时间:
2016-05-17 06:20:56
阅读次数:
460
因为最近要去做ctf比赛的这一块所以就针对性的分析一下近些年的各大比赛的PWN题目。主防项目目前先搁置起来了,等比赛打完再去搞吧。 这次分析的是去年的SCTF的赛题,是我的学长们出的题,个人感觉还是很符合套路的:一道栈溢出、一道格式化字符串、一道堆溢出。 pwn200 一个栈溢出。 题目给出了lib ...
分类:
其他好文 时间:
2016-05-11 06:37:58
阅读次数:
218
最近在做CTF的题目,遇见了一个都是[]()+!这样的文件,于是百度了一下,发现这个博客对这个有解释。 G Reader里Dexter同学的分享,来自sla.ckers.org的又一神作 点我测试 GReader里看不到效果的同学请自行测试下列HTML: <script language="java ...
分类:
编程语言 时间:
2016-05-11 01:15:33
阅读次数:
331
上传绕过 很不错的一种题型,就是文件上传有很多漏洞设法,这里是路径问题,测试发现,不检查类型参数,不检查内容,只检查后缀: 所以文件名怎么都得是“.jpg .gif .png”结尾,但是路径/upload可以做文章,用截取包工具,把/upload改成“/upload/xxx.php ”,然后在hex... ...
分类:
Web程序 时间:
2016-05-05 19:24:30
阅读次数:
1282
https://support.microsoft.com/zh-cn/kb/214397设计问题-通过使用 Winsock TCP 发送较小的数据段
电子邮件
打印
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社...
分类:
其他好文 时间:
2016-05-03 18:05:46
阅读次数:
346
