0x00 背景 在看CNVD漏洞庫(kù)的時(shí)候發(fā)現(xiàn)有師傅發(fā)了某cms前臺(tái)SQL注入漏洞餐济,通過(guò)查閱漏洞描述可知道存在問(wèn)題的參數(shù)是cardpwd侨赡,便開(kāi)始嘗試對(duì)該版本的cms進(jìn)行審計(jì)。 ...
發(fā)簡(jiǎn)信
IP屬地:福建
-
代碼審計(jì)| DuomiCms全局過(guò)濾規(guī)則繞過(guò) -
易通SQL時(shí)間盲注復(fù)現(xiàn)易通CMS是一個(gè)企業(yè)網(wǎng)站建站系統(tǒng)勋锤,本期帶來(lái)其3.X.X版本中饭玲,前臺(tái)SQL注入和后臺(tái)文件上傳的漏洞復(fù)現(xiàn)過(guò)程。 基礎(chǔ)環(huán)境: 1. 虛擬機(jī)win2003搭建phpstudy作為we...
-
CTF| SQL注入之login界面類(lèi)SQL注入是CTF的WEB方向必不可少的一種題型叁执,斗哥最近也做了一些在線(xiàn)題目茄厘,其中最常見(jiàn)的題目就是給出一個(gè)登錄界面,讓我們繞過(guò)限制登錄或者一步步注入數(shù)據(jù)谈宛。 萬(wàn)能密碼—very...
-
謝謝
代碼審計(jì)| CTF 中的反序列化問(wèn)題
0x00 序列化和反序列化 簡(jiǎn)單的理解:序列化就是使用serialize()將對(duì)象的用字符串的方式進(jìn)行表示次哈,反序列化是使用unserialize()將序列化的字符串,構(gòu)造成相...
-
代碼審計(jì)| CTF 中的反序列化問(wèn)題0x00 序列化和反序列化 簡(jiǎn)單的理解:序列化就是使用serialize()將對(duì)象的用字符串的方式進(jìn)行表示吆录,反序列化是使用unserialize()將序列化的字符串窑滞,構(gòu)造成相...
-
存放在我記憶刻盤(pán)上的、一些關(guān)于新疆的碎片昨晚恢筝,我根據(jù)照片隨手畫(huà)了幾幅有關(guān)新疆的速寫(xiě)作品葛假,沒(méi)想到,被塵封的記憶閘門(mén)由此被瞬間打開(kāi)滋恬,于是便有了這篇《存放在我記憶刻盤(pán)上的聊训、一些關(guān)于新疆的碎片》。 1987年夏恢氯,在我大學(xué)二...
-
大腦的體操带斑,你知道嗎?這就是冥想和專(zhuān)注帶來(lái)的感受勋拟,一種更高層次的專(zhuān)注勋磕、平靜以及對(duì)生命的徹悟。 我喜歡打羽毛球敢靡,當(dāng)我和別人練習(xí)時(shí)挂滓,我一般都能很好的發(fā)揮自己的水平,但是一旦要打比賽啸胧,我總是表現(xiàn)很差赶站,即...
-
您有一份CTF代碼審計(jì)文件等待查收0x01 背景 上周總結(jié)了一些文件包含與偽協(xié)議結(jié)合的利用方法幔虏,本周就找一道例題進(jìn)行演練。題目源自國(guó)外某挑戰(zhàn)平臺(tái)贝椿,平臺(tái)上還有許多其他有趣的challenges題目想括,小伙伴有興趣...