sourcecode核心代码: 关键部分已标为红色,该脚本的初期分析参见上一篇writeup。 这是exif_imagetype()的介绍(http://php.net/manual/en/function.exif-imagetype.php) 为什么该函数会通过读取文件的第一个字节签名来判断图片 ...
分类:
Web程序 时间:
2017-05-14 10:55:46
阅读次数:
216
从HTML的注释代码来看,“google无法搜索到这个页面” -> 说明该网站很可能设置了防爬虫机制:robots.txt 以下是robots.txt的介绍(来自维基百科): robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络 ...
分类:
其他好文 时间:
2017-05-12 13:24:38
阅读次数:
177
注意到“files/pixel.png”,flag可能隐藏在此图片中。但随后发现该图片仅仅是一个一像素的图标,“没有”意义——files/目录可能是可以访问的: 拿到flag:natas3:sJIJNW6ucpu6HPZ1ZAchaDtwd7oGrD14 总结:HTML/CSS/JS等客户端文件可能 ...
分类:
其他好文 时间:
2017-05-12 13:23:06
阅读次数:
184
2017 RedHat Web writeup1、thinkseeker2、PHPMyWIND3、后台 2017 RedHat Web writeup 1、thinkseeker 这题考两个点 1、用with rollup过前面两个if 2、用盲注找到flag 关于第一点在实验吧有原题:http:/... ...
分类:
Web程序 时间:
2017-05-08 00:19:45
阅读次数:
191
签到
brian(Y)
WEB
刮刮乐
PHPMyWIND
后台
thinkseeker
PWN
pwn1
pwn2
pwn4
pwn5
分类:
其他好文 时间:
2017-05-07 23:06:03
阅读次数:
1138
0x00 背景 31c3 CTF 还是很人性化的,比赛结束了之后还可以玩。看题解做出了当时不会做的题目,写了一个writeup。 英文的题解可以看这:https://github.com/ctfs/write-ups/tree/master/31c3-ctf-2014/web 0x01 pCRAPp ...
分类:
Web程序 时间:
2017-05-01 01:21:40
阅读次数:
474
Web100 访问页面将看到下面的错误 在burp里使用request / response查看有没有什么不正常的地方。如下图所示,在返回的数据包里被设置了两次不同的PHPSESSID。 如果我把PHPSESSID改成第一个去请求会怎么样呢?当然没有那么简单,修改之后我发现页面只有“Error Co ...
分类:
Web程序 时间:
2017-05-01 01:18:04
阅读次数:
253
前言 为提高大学生的网络安全技术水平,培养大学生的团队协作能力,由陕西省兵工学会主办,西安工业大学承办的“2017年第三届陕西省网络空间安全技术大赛”即将于2017年4月15-16日进行线上初赛,2017年5月13日进行线下总决赛。文章为本次大赛第一名的队伍Mirage的writeup。 web 签 ...
分类:
其他好文 时间:
2017-05-01 00:21:19
阅读次数:
634
PHPINFO 题目地址:http://web.jarvisoj.com:32784/访问网址,页面显示: 看到PHP代码中的ini_set('session.serialize_handler', 'php')就会知道这道题目与PHP中的Session序列话的问题有关,关于PHP中的Session ...
分类:
编程语言 时间:
2017-04-29 22:15:42
阅读次数:
357
2017年陕西省网络空间安全技术大赛——人民的名义-抓捕赵德汉2——Writeup ...
分类:
其他好文 时间:
2017-04-23 22:21:27
阅读次数:
283
