[5.16]从微信小程序越权渗透某edu站的实例
引入 来自于5.16提交的某edu站的漏洞,所有隐私信息均打码发布,只分享思路, 漏洞1:未授权访问 填写信息 之后查看申请记录 此时可得到/api/applyInfo/getListById接口 构造数据包(POC在圈内) 遍历...
2023年全新TwoNav开源网址导航系统源码-站长整合资源必备
演示 演示地址:nav.huliku.com (他搭建的好看) Godyu后期也会搭建一个(因为是新出的网上基本是付费的,鄙人比较良心直接放出来了)评论后即可拿到 安装说明 上传到根目录解压 导入数据库文件...
[CTFshow]图片长宽+ZIP伪加密解密脚本分享
前言 一些zip进行加密密码之后不一定是真的有密码 这时候如果我们去爆破那就是上当了 打金盾的时候就上当了,跟我随行打的朋友解出来了,我还在傻傻的爆破 拿到只有一个zip且有flag一定要先看二进...
[Thm红队]靶场之九头蛇破解网站登录凭据以及ssh登录
前言 众所周知,hacker常用Burpsuite破解网站登录凭据抓包爆破账号密码,我也发布了2021/2022/2023的burpsuite的账号密码 但是今天介绍的是九头蛇 对于九头蛇呢我的建议学习是非常重要的 因为在本...
PHP serialize&unserialize Study writeup(3)
前言 本次主要是刷题 Web 258 直接生成,会pass掉以0开头+数字的不分大小写 仔细发现一共有两处 绕过正则 $b=str_replace(':11',':+11',$a); $d=str_replace(':8',':+8',$c); exp <?php class...
[Parror]安装卡百分之91的解决方法
前言 /usr/sbin/souurces-media-unmount 未能在600s内完成 昨天没有认真打靶场,在此深刻反思自己,是因为在搞一些其他东西 如果你不幸和我卡百分之九十一,尝试去搜索引擎上搜索,是没有任何解决办...
[LitCTF]cha0s-Writeup
前言 百万美元三血 AK WEB RE MISC方向 ->Web方向 一个池子? 猜测SSTI 验证一下 确定为ssti漏洞 出的题很简单, 自从某场比赛ssti绕waf了一夜绕了出来,就再也没有难的ssti了 这题都不用手注 f...
【本站福利】搭建的私服阿拉德手游公测
前言 之前为客户搭建的一款阿拉德私服手游(也就是DNF的私服手游)如今公测了 管理员权限在我这 想要啥可以直接私聊我我直接给 服务器配置很高 能容纳很多人 角色非常多可供大家自行选 以下是一...