【闽盾杯】wpdns流量分析 流量包里全是dns协议，但是观察一下请求包： 这里是zip压缩文件的16进制形式，我们使用tshark提取出来： 1tshark -r flow.pcapng -T fields -Y "dns.flags.response == 1" -e dns.qry.name > data.txt 123456789101112131415161

[强网杯 2019]高明的黑客我们下载网页源码： 发现里面居然有3000个文件，这只能脚本来找了。 我们先随便进一个文件： 我们发现有些传递进去的参数会被赋值为空，这样就不能够命令执行了，我们需要通过脚本找出传递进行的参数能够进行命令执行并且回显在页面的参数。 因此我们编写脚本。 脚本： 123456789101112131415161718192021222324252627282930

[TOC] webbabyPHP123456789101112131415<?phphighlight_file(__FILE__);error_reporting(0);$num = $_GET['num'];if (preg_match("/\'|\"|\`| |<|>|?|\^|%|\$/", $num))

[CISCN2023]被加密的生产流量 某安全部门发现某涉密工厂生产人员偷偷通过生产网络传输数据给不明人员，通过技术手段截获出一段通讯流量，但是其中的关键信息被进行了加密，请你根据流量包的内容，找出被加密的信息。（得到的字符串需要以flag{xxx}形式提交） 得到一个modbus.pcap流量包 该开始我们先根据modbus进行分析，参考文章：Modbus协议分析 使用脚本： 12345678

一、初识XSS1、什么是XSSXSS全称跨站脚本(Cross Site Scripting)，为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能，在HTML页面里嵌入恶意代码。当用户浏览改页时，这些潜入在HTML中的

xss-labs 先讲讲什么是跨站脚本攻击XSS(Cross Site Scripting) XSS原理 本质上是针对html的一种注入攻击，没有遵循数据与代码分离的原则，把用户输入的数据当作代码来执行xss跨站脚本攻击是指恶意攻击者往Web页面里插入恶意脚本代码（包括当不限于js，flash等等），当用户浏览该页面时，嵌入其中Web里面的脚本代码会被执行，从而达到恶意攻击用户的目的。为了不和层

【VishwaCTF2023】wpwebPayload目录扫描，扫描到了robots.txt 我们访问/robots.txt： 1234567891011<?php if(isset($_GET['cmd'])){ system($_GET['cmd']); } else {

[CISCN2023]unzip环境搭建1.html 12345678910111213<!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8"> <title>Title</title></head>

SSRF 漏洞SSRF漏洞介绍： 　　SSRF漏洞（服务器端请求伪造）：是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。 SSRF漏洞原理： 　　SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指

SSRF打FastCGI