关于我



努力赶上大佬的安全小白;


2020年计划:
开发一个MVC架构的项目 √

用Python写一个Scrapy的分布式爬虫 √

用Python写一个简单的扫描器;

努力刷题,让自己在CTF小有成就;

挖掘漏洞,今年提交10个有质量的漏洞;

Java Web 基础学习。

置顶

Vulnhub DC-1靶机渗透学习

准备

下载地址中下载DC-1综合渗透靶机,用VMware即可打开,打开时忽略错误,将靶机调成NAT模式即可。

信息收集

打开靶机

XXE学习笔记(持续更新....)

漏洞简介

XXE漏洞全称叫做XML外部实体注入漏洞,说白了就是程序中xml可控,而且支持引用外部实体定义DTD从而造成此漏洞。

SQL语句Trick...

sql语句对大小写不敏感。

show语句

show语句用于展示当前所有数据库或者数据表

1
2
show databases;
show tables;


PHPSHEv1.1代码审计

前言

这套cms比较简单,没有用mvc,一些漏洞点比较简单,里面也有一些很有意思的漏洞点,适合记录一下。

Web中间件漏洞笔记(持续更新....)

IIS

IIS文件解析漏洞

IIS文件解析漏洞存在于两个版本,一个是IIS6.0的文件解析漏洞,一个是IIS7.5的文件解析漏洞,IIS7.5的文件解析漏洞原理和IIS6.0类似,均因为存在逻辑问题。

文件上传Trick(持续更新...)

前言

本文只记载一些文件上传的骚操作,其他的基本操作不在叙述。

RCE学习笔记

Here's something encrypted, password is required to continue reading.

文件包含漏洞学习笔记

Here's something encrypted, password is required to continue reading.

2020_3月总结

Here's something encrypted, password is required to continue reading.
Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×