靶机IP:192.168.174.128本机IP:192.168.15.181首先检查靶机大概的框架可以看到，其web框架是APS.NET，WEB服务器为IIS。文件上传漏洞注册一个账号进入http://192.168.148.221/us...

YD233 2024-10-9 web安全

介绍焚靖是一个针对CTF比赛中JinjaSSTI绕过WAF的全自动脚本，可以自动攻击给定的网站或接口，省去手动测试接口，fuzz题目WAF的时间。主要特性集成了大部分CTF中的SSTIWAF绕过技巧全自动爆破API参数并攻击全自动分析网站的...

YD233 2024-10-7 web安全

WSL（WindowsSubsystemforLinux，Windows子系统Linux）是一个在Windows10和Windows11上运行的兼容层，允许用户在Windows上运行Linux二进制可执行文件（ELF格式）。WSL提供了一个...

YD233 2024-8-25 未分类

首先我们进入一个题目的界面，点击启动即可启动环境点击写着WSRX的复制按钮复制链接，然后需要粘贴到WSRX软件内来代理，然后才能访问，接下来教大家如何下载。windows端可以直接点击以下链接下载，https://github.com/XD...

YD233 2024-8-10 未分类

6葛仙炼丹NPC的提示葛仙翁：君可曾备有jd-gui之神器？此物可助吾等解密代码，洞悉其间玄机，若有此神器相助，必能事半功倍，解开眼前之难题正文不听提示的，GDA直接打开很容易就找到关键代码，没什么好说的，就是俩数组异或。开始编写代码a=[...

YD233 2024-7-26 逆向

5九龙吐水NPC的提示罗霄：少侠可知，CE(CheatEngine)乃一开源之内存扫描与调试神器。此利器常用于篡改单机游戏之数值，譬如生命值、金钱等。其原理乃通过扫描游戏进程之内存数正文打开软件测试一下操作方式是在黑框里面按wasd，空格可...

YD233 2024-7-26 逆向

步过（StepOver）和单步执行（StepInto）是调试代码时使用的两种不同方法，它们在交互式调试器中逐行执行代码。这两种方法的主要区别在于它们如何通过函数调用：步过(StepOver)使用步过执行代码时，调试器不会进入任何函数或方法。...

YD233 2024-7-24 二进制安全

第一章：为了女神小芳！【配套课时：SQL注入攻击原理实战演练】题目Tips:通过sql注入拿到管理员密码！尤里正在追女神小芳，在得知小芳开了一家公司后，尤里通过whois查询发现了小芳公司网站学过一点黑客技术的他，想在女神面前炫炫技。于是他...

YD233 2024-7-24 数据库安全

环境mysql类数据库apachesqllab做靶场部署了safedog作为WAF开始比较简单的通用waf在一般情况下不会随意拦截and,or,select,database之类的单词。为什么呢，首先是用户的文字和上传的图片中这些单词会不可...

YD233 2024-7-23 数据库安全

一、关系型数据库MySql数据库，默认端口是:3306Oracle数据库，默认端口号为：1521SqlServer数据库，默认端口号为：1433DB2数据库，默认端口号为：5000PostgreSQL数据库，默认端口号为：5432国产的DM...

YD233 2024-7-23 数据库安全