1.0.0 简介 1.0.1 原理 当网站由于某些功能要将一个文件包含在另一个文件中时，且用户可以选择包含的文件，并写入恶意内容在被包含文件中就会出现文件包含漏洞，实质上也是恶意代码的执行 在PHP中常见的文件包含函数有 require() : 找不…

1.0.0 XSS漏洞简介 1.0.1 原理  XSS漏洞针对的是动态网页，通过在网页里插入恶意Script代码，当用户浏览该页时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。恶意脚本通过php的输出函数输出到html页…

参考文章：https://www.freebuf.com/articles/web/304130.html 使用靶场：CTFHub 还有附上思维导图： 一、文件上传漏洞的原理与危害 （1）原理 由于未对用户上传的文件进行严格校验（如类型、内容、路径等…

参考教程：https://www.runoob.com/mysql/mysql-create-database.html 参考博客：https://blog.csdn.net/2301_80913334/article/details/1374145…

一、Web （1）RCCCE 打开环境可以看出本题是RCE 同时我们可以看到有黑名单，但是如果绕过了黑名单，那么该命令就会被执行，我们为了验证可以先使用sleep函数来验证指令是否被执行 ?cmd=sleep 10 可以看到网站一直在加载，一直等了1…

一、CTF练习 2024大一上学期寒假共41天，除去过年6天后，还有35天，CTF练习按照日期来写每日任务 1月10日 （一）Web：BUUCTF-[极客大挑战 2019]EasySQL1 考点：简单的SQL注入 打开题目可以看到是登录界面，我们先直…

MD5值查询 替换密码爆破 在线大素数分解

一、MISC（14/14） （1）南无阿弥陀佛 使用010打开文件，由于是伪加密，修改General purpose bit flag为00，压缩包文件头和内部的文件的文件头都要改。 ZIP文件构成 OffsetBytesDescription译04…

一、Web 1）25时晓山瑞希生日会 打开题目看到 你不是烤p！要是Project Sekai的客户端请求才能加入生日会 于是我们打开hackerbar将User-Agent改为Project Sekai，发送请求后，提示又变为 只能从本地来！ 于是…

一、web 1、基础知识 (1)CTF简介 flag就在文末 (2)竞赛模式 同样 (3)比赛形式 还是 (4)题目类型 也是。。。。 2、签到 同上 3、web前置技能之http协议 (1)请求方式 http请求方式可以自定义，按要求用bp抓包后将…