前言： 由于这段时间期末考试最近在复习，结果忘记续费我的域名了，我的域名是之前在freenom上免费注册的tk为后缀的域名，本来想重新注册一个tk的 结果发现要10美金！ 这我肯定是不会弄的，所以我就去了腾讯云那边买了一个xyz的后缀，然后就有了下文。 正文： 由于新买了域名，所以我肯定要去配置解析的，购买实名这些不再赘述 我是在dnspod上弄的…

感谢 2019年，经历了很多。我还记得1月初的时候，那时才刚刚开始学习python这门语言，还是一个人独自学习的状态，没有加入安全圈子没有认识这么多人超好的师傅们。大概在暑假的时候，进入了web安全交流群，渐渐的认识了各位师傅们，同时也在那时候弄了CTF，这个学期非常有幸的认识了武汉工程大学本部的师傅们，这里也非常感谢本部的师傅们能够接纳我这个来自…

前言： 就在昨天刚刚续费完博客的服务器，晚上兴高采烈的打算写有关xxe的相关文章，但是一进去发现 我去我之前配置的小绿锁咋失效了！这下我完全没了写文章的心思，如今整出来了，所以写一下也算是当作一个小记录了 正文： 首先去控制台查看我的ssl证书，重新配置一下看看会不会解决问题 果然问题不会这么简单的就解决。在这之前我想先检查一下其他地方有没有问题，…

0x00 前言 这段时间又是一个迷茫的时期，感觉学的时间不少但是总感觉最终自己的收货太少，也不知道应该去往哪些方向去学习，所以反思一下问题并且找出其中的原因。 0x01 过于看重漏洞 由于仍然是处于新手状态，所以之前一直想去通过挖到漏洞来证明自己，往往忽略了一些比较基础的东西，对于漏洞的原理了解的不深刻，一些对应的知识不熟悉，以及错误的挖洞心态。抱…

0x00 前言 以前看到比较好的文章 看完之后没有认真总结和归纳导致过几天就忘记了所以便想到这个专题 对文章中个人不熟悉的内容进行学习和总结 文章地址: https://www.freebuf.com/vuls/211842.html 文章地址: https://www.freebuf.com/vuls/211847.html 文章来源: free…

0x00 前言 一直以来对于 jsonp 这些东西都不怎么理解 对csrf也都仅仅局限于懂原理的地步 今日发现 DoraBox 靶场上有例子 便结合文章和实例来自我总结一番 0x01 什么是跨域 浏览器有一个最为核心的策略叫做同源策略: 同domain（或ip）,同端口，同协议视为同一个域 同一个域只能读写同一个域的资源 举个简单的例子 …

参考文章 https://xz.aliyun.com/t/2657 https://xz.aliyun.com/t/4029#toc-16 0x00前言 之前再suctf比赛中的一题中遇到了 exif_imagetype() 这个的问题 后面发现 这个文件上传靶场有提到 这个靶场之前只做了一部分 后半部分 看了一下write up便草草了事 ...…

文章链接 http://bobao.360.cn/learning/detail/292.html 0x00前言 昨天看了 这篇文章 感觉收获颇丰 发现很多东西都不是很清楚 所以看完来自我总结一下 先会把文章的知识点进行总结 再结合文章的练习题进行逐个的分析 0x01原理 HTML 解析 html的解析器类似于一个状态机 会获取字符并按照转换规则转…

0x00前言 主要考了三块 第一块是文件包含获取源码 第二块是通过sql绕过注入获取密码 第三块是三参数回调后门的利用 做这题的时候结合了别人的wp 同时自己也学习了很多 所以来总结一下 平台地址: https://cgctf.nuptsast.com/challenges#Web 题目地址: http://cms.nuptzj.cn/ 0x01正…

0x00前言 前几天我师傅和我提及了这件事情 正常情况下 抓包过程中遇到加密情况会很迷茫 昨天把这个都弄了一下 也感谢大佬中间的指导 我一开始看到密码的类型下意识的是base64 但是去解密发现不对 全都解不出来 后来得知 是DES加密过后的内容需要密钥 具体的看下文吧 0x01正文 首先来简单的说一下DES加密 DES加密: 这个是对称性加密 简…