文件上传漏洞学习 文件上传漏洞漏洞介绍很多网站都有允许用户上传的文件的地方,比如注册时上传头像,写文章的时候上传附件之类的,但是如果网站没有对上传的文件进行过滤,那么用户就可以任意上传文件,如果上传的是可执行的恶意脚本文件,比如一句话木马,那么甚至可以getshell,危害极大 漏洞分类文件上传漏洞分为两类: 一类是客户端检测,一般就是通过前端的js代码对上传的文件进行过滤,不允许恶意文件上传。 另一类是服务端检测 2021-07-28
XSS运用之DVWA靶场 为了方便直接使用buuctf上面的环境,DVWA的默认账号是admin密码是password XSS(DOM)-Low 可以看到是get型 最简单的尝试一下 1<script>alert('123')</script> 第一题没什么难度 XSS(DOM)-Medium还是这个题目,但是看左下角的等级,现在是最低级, 先改成Medium(如果改了 2021-07-27
安卓开发入门操作 Android Studio安卓及环境搭建本部分请参考网上的安装教程,没有什么难度,请自行安装 Android应用目录介绍想要学习如何做一个app那么首先应该了解app的目录结构都有什么,代码应该写在什么地方 这里打开的有三个文件,其他都是文件夹,这三个文件就是app的核心文件了 MainActivity先介绍MainActivity这个文件,它就是一个首页,当我们打开一个app之后看到的第一个 2021-07-23
pwn-栈溢出学习 栈溢出(攻击方法:ROP)栈溢出的主要攻击方法就是ROP ROP( Return Oriented Programming)是栈溢出攻击的主要方法,其主要思想是在栈溢出的基础上,利用程序中已有的小片段( gadgets)来改变某些寄存器或者变量的值,从而控制程序的执行流程 通俗的来说ROP就是给你一篇文章,然后让你从文章中找出一个字来,拼成一句话,比如:你好世界。(主要就是用文章中出现的字来拼句子 2021-07-18
解决linux系统运行可执行文件提示权限不够的错误 在buuctf做pwn题,题目直接下载到ubuntu上面了,但是无法运行,提示权限不够,刚开始以为是没给root权限的问题,后来才发现是文件权限没给。之前不会出现这个情况的,应该是buuctf里面文件的问题,记录一下解决办法 1chmod 777 文件名 这样即可。 2021-07-17
解决使用python3跑pwn题脚本p64()报错的问题 报错提示应该是类型不匹配,因为python3上对字符串相加的情况做了一些新的限制 1payload='a'*23+p64(0x401187) TypeError: must be str, not bytes 如果直接在p64()外面加一个str()并不能解决问题,网上找到一种方法成功解决 1payload='a'*23+p64(0x401187).dec 2021-07-17 python
VM虚拟机转PD虚拟机 因为从windows转macos了,但是windows里面的vmware有一台ubuntu虚拟机,之前在里面搭了很多的环境,重新弄一个ubuntu的环境太麻烦了,在mac上面用vm会发现非常占用内存,远远没有pd虚拟机好用,所以就想到了迁移,试一试能否把VMware里面的虚拟机迁移到parallels里面来。 我之前已经把windows上面的vm虚拟机转到mac上面的vm里面了,所以直接对mac上 2021-07-16
mac安装pwntools 我用的是conda的虚拟环境,会比较方便 1pip install pwntools 等它装完 最后出现成功 现在导包已经没问题了 但是我们用这个测试是报错的 12from pwn import *asm("xor eax,eax") 有这样一个错误 123pwnlib.exception.PwnlibException: Could not find 'o 2021-07-16
安装gmpy2方法 windows安装方法这里使用的是python3.6 先安装wheel 1pip install wheel 安装好wheel后,还需要安装gmpy2所需要的whl文件 使用这个网站 https://www.lfd.uci.edu/~gohlke/pythonlibs/ 找到这里,cp36代表是python3.6版本,一般大家的系统都是64位的,就选amd64的 然后就安装即可 1pip in 2021-07-16
自动化xss测试工具XSStrike学习 XSStrike工具安装这是一个github上面的开源工具,直接clone下来 (这里我新建了一个名为ctf的conda环境,专门用于跑ctf的脚本) 1git clone https://github.com/s0md3v/XSStrike.git 然后安装一下所需的库 1pip install -r requirements.txt 这样就安装完成了(注:这个工具必须运行在大于等于3. 2021-07-16