BugKu S3 第五套 AWD复现
|
35
|
0
|
技术

527 字
|
3 分钟
一、Web漏洞 1、弱口令漏洞 我们下载下来源码,很容易发现,在根目录只有两个文件,即admin.php和index.php。在admin中可以看出,这是一个登录界面。同时发现有File_manger字样,可以看出是可以进行文件管理,大概率可以上传文…
Cardinal AWD 平台部署过程
|
38
|
0
|
技术

2367 字
|
17 分钟
由于想要搭建一个AWD平台来复现,但是我查看了大多数开源的AWD平台,似乎功能都不太完善,于是对比之下找到了Cardinal 项目地址:05sec/Cardinal: CTF🚩 AWD (Attack with Defense) 线下赛平台 / AW…
CobalStrike使用以及RUST免杀
|
37
|
0
|
技术

2601 字
|
1.3 小时
CobalStrike的安装与使用 一、安装 可以直接从官网下载,不过可能要一点点手段。不多说 CS需要同时安装服务端和客户端,需要jdk环境,最好是jdk11,Kali不需要额外配置jdk环境。但是这里我们还是以Debian为例 首先安装jdk,由…
2024 ISCTF复现
|
38
|
0
|
比赛

497 字
|
3 分钟
一、Web 1)25 时晓山瑞希生日会 打开题目看到 你不是烤p!要是Project Sekai的客户端请求才能加入生日会 于是我们打开 hackerbar 将 User-Agent 改为 Project Sekai,发送请求后,提示又变为 只能从本…
2024美亚个人赛复现
|
72
|
0
|
技术

1631 字
|
7 分钟
案情 于 2024 月 8 月某日, 警方接获一名本地女子 Emma 报案, 指她的姊姊 Clara 失联多天, 希望报告一宗失踪人口的案件. 现在你被委派处理这宗案件. 于处理该案件期间, 你在 Emma 的同意下提取了她手机的资料, 并且协助警方…
2023美亚个人赛复现
|
127
|
0
|
比赛

11070 字
|
55 分钟
手机(Android) 检材 Android.bin 第一题 李大辉所用手机移动运营商公司的名称? 不多说,自动分析后查看SIM卡使用记录即可 即 Mobile Duck 第二题 李大辉的手机安装了什么即时通讯软件? A. WhatsApp B. L…
2025高校网络安全管理运维赛
|
196
|
0
|
比赛

1414 字
|
23 分钟
MISC 1、Phishing 先使用CHMunpacker获取到包含的文件 获取到文件后,发现是将一堆字节写入一个zip文件,我们利用脚本实现 # Retry extraction with a more robust pattern import…
Phar反序列化学习
|
182
|
0
|
攻防

2295 字
|
15 分钟
什么是Phar JAR 是开发 Java 程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个 JAR 文件里,使得部署过程十分简单 phar是 PHP 里类似于 JAR 的一种打包文件,说白了其本质可以理解为一个压缩包 对于 PHP 5.3…
JWT伪造初步学习
|
202
|
0
|
攻防

2744 字
|
12 分钟
JWT 简介 JSON Web Token(JSON Web 令牌)是一个开放标准 (rfc7519),它定义了一种紧凑的、自包含的方式,用于在各方之间以 JSON 对象安全地传输信息。通过 JSON 形式作为 Web 应用中的令牌,用于在各方之间安…
大二上第一次考核复现
|
346
|
0
|
未分类

2265 字
|
32 分钟
一、Web 1.Web狗的地狱 本题提供了源代码,我们打开代码查看,可以发现黑名单非常之多 过滤的基本都是与SSTI有关的函数,但是我们发现print没有被禁过滤的基本都是与SSTI有关的函数。还有,即使双大括号被禁用了,但是我们还可以使用{%...…