# 信息收集靶场
记一次信息收集靶场练习的大致思路, 只是跟着大佬的 wp 复现一边,没有试错过程
靶场:HackingHub - Hubs - Prison Hack
puredns 爆破子域名:
1wget https://raw.github...
# Information Gathering
信息收集:
- 狭义的信息收集指的是收集厂商的资产,比如域名和 ip 等等
- 广义的信息收集指的是收集厂商相关的各种信息,包括但不限于员工信息,泄露的源码,泄露的账号密码等等
资产:
- 狭义的厂商的...
# 访问控制
应用程序首先会判断用户的身份(账号密码登录),随后确认后续请求是否由该用户发出(会话管理),然后判断是否允许用户执行 “所请求的操作” 或访问 “所请求的资源(访问控制
从用户角度访问控制模型分为以下类型:
垂直访问控制:控制不同权限...
# SRC 工具
只是为了个人查阅方便,工具推荐来自 301 苏神
# Amass(子域名)
Amass 是一款开源的子域名信息收集工具,设计用于帮助安全专业人员、渗透测试人员和网络管理员收集目标域名的所有可能子域名。Amass 的目标是提供广泛的...
# SQL 注入
[!IMPORTANT]
参考协会学长们的文章:
记录一下近期刷 Buuoj 学到的 SQL 注入技巧 | ek1ng’s Blog
SQL 注入 - 飞书云文档 (feishu.cn) ...
# R3CTF 部分解题
# misc
# Blizzard CN Restarts
魔兽的地图,借助浏览器搜索编辑器
MPQ master 打开.w3x 文件
打开.wts 文件
r3ctf{Elune_be_with_you�...
# WAF
WAF ( Web Application Firewall ,网页应用防火墙)是一种专门设计用于保护 Web 应用程序的安全设备或软件,旨在通过监控、过滤和分析 HTTP/HTTPS 流量,防止常见的 Web 攻击,如 SQL 注入、跨...
# XML
XML 指可扩展标记语言(EXtensible Markup Language)。
XML 的设计宗旨是传输数据,而不是显示数据。
XML 是 W3C 的推荐标准。
XML 不会做任何事情。XML 被设计用来结构化、存储以及传输信息。
X...
# JS 混淆与反混淆
JavaScript 混淆 (Obfuscation) 是指通过一系列技术手段,使 JS 代码变得难以理解和分析,增加代码的复杂性和混淆度,阻碍逆向工程和代码盗用。实际上就是一种保护 JS 代码的手段。
JS 最早被设计出来...
# PyJail
# Python 的一些特性
# object 类的继承
Python3.x 版本中,类默认会继承 object
但在 Python2.x 中,默认不会继承
123456789101112131415161718192021# ...
