Web技能树

啥也不会,好

看了好几个oj,感觉CTFHub的技能树蛮不错,跟着这个做做吧

目前在看的书:《CTF特训营》《黑客攻防技术宝典-Web实战篇》(矿难血亏一笔,从图书馆嗯嫖

  • 信息泄露
  • 密码口令
  • SQL注入
  • XSS
  • 文件上传 包含
  • RCE
  • SSRF
  • more…

信息泄露

目录遍历

如题目翻一遍目录

phpinfo

如题目翻一遍phpinfo

网站源码备份

下载下来www.zip 然后域名进到flag_47012235.txt就有了

其实常见备份文件名不用记。。扫描器一开就行了

bak

御剑扫出来index.php.bak 记事本打开或者curl

SQL注入

整数型注入

字符型注入

报错注入

基本上都是sqlmap能扫出来的 主要得学手动注

XSS

首先需要一个xss代码的生成网站 比如xss.pt

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Pushinl小菜鸡一枚 别名Row Srank<br><br>TJU/原临汾炼焦OIer<br>谢谢大家