CSRF在挖洞中就像XSS SSRF一样不起眼 比如在edusrc当中就给低危1分 但在实战当中 CSRF SSRF XSS(存储型)都具有重大作用 现在我就用一套源码来演示CSRF(跨站请求伪造漏洞) 通过CSRF-伪造钓鱼链接...

前言 Dev C++也是一个编程工具,配置也简单,且便捷-麻雀虽小,五脏俱全,可谓是编程必备了这边Godyu建议呢 Vscode和Devc++都下载并且使用 熟悉一下 （比赛的时候Dev c++频率出现较大） 本文章由God...

前言 Editor : ZZULI-Frex PDF版：可下载预览 (建议在电脑上查看） 1.所需知识： (1).最基本的网页信息捕获以及文件下载。(点击链接即可进入都是在新窗口打开） (2).了解系统环境变量的作用以及...

一,xml概述 1.1引入 在我们日常生活中我们在各种网站上面个看到他们都有天气什么的,他们展示的形式可能不同,但他们所用的数据是一样的,那他们肯定已不是从卫星直接获取的而是从国家的一些平台获...

前言 ->Web方向 EasyMD5 burp抓包 随意上传提示pdf后缀 我这里直接把type都改成pdf类型 给了我们是否知道MD5 Collision MD5 Collision可以是文件内容不同但MD5的值相同 判断出我们需要上传两...

引入 来自于5.16提交的某edu站的漏洞,所有隐私信息均打码发布,只分享思路, 漏洞1:未授权访问 填写信息 之后查看申请记录 此时可得到/api/applyInfo/getListById接口 构造数据包(POC在圈内) 遍历...

前言 简单介绍一下thm与CTF不同 thm更加偏向于实战 thm红队打好后就可以挖洞了 CTF只是特定的环境有些限制 最近开thm学习,并且记录一下每一个房间的学习记录,也不知道会不会有人观看学习(stick ...

连接上靶机过后 直接查看日志cd /var/log发现是通过apache搭建的web服务也可查看外联和端口开开放情况netstat -pantu这里也可以确定开启了apache服务 也确实为apache + php 接下来查看木马文件 ...

前言：核心思想就是判断出能够逃逸的字符 0x01 寻找注入点 平平无奇的一个界面，随意查询看看数据包 数据包 看到了很多的参数，随意加上双引号，看看回显 嗯哼，这不就是妥妥的sql注入吗 0x02 ...