Harold

360CTF 实训平台：http://172.18.25.55 仅限内网访问 # 360-SecLab-Web-02 # 文件上传 # 题目描述 web 代码修改上传验证 题目网址：http://10.2.0.18/17/ # Write-up 提示是 web 代码修改上传验证，题目应该是浏览器端的上传检测漏洞，先右键查看源码 发现提交表单数据时有一个检测函数 <script> function...

360CTF 实训平台：http://172.18.25.55 仅限内网访问 # 360-SecLab-Web-01 # 菜刀的相册 # 题目描述 进入题目页面，发现与上面 MySQL 一样，同样是通过 $_GET [id] 传参 题目网址：http://10.2.0.18/7/ # Write-up 未完成 MySQL 注入，暂时没有成功，各位可以自行尝试一下 # 这是黑阔们经常干的事 # 题目描述 本题考察的是 windows 下 cmd 相关命令的使用。 题目网址：http://10.2.0.18/8/index.asp # Write-up 这是菜刀大牛的服务器的...

# 斐波那契数列 斐波那契数列（Fibonacci sequence），又称黄金分割数列，因数学家莱昂纳多・斐波那契（Leonardo Fibonacci）以兔子繁殖为例子而引入，故又称为 “兔子数列”。 我们都知道兔子的繁殖能力是惊人的，如下表： 所经过的月数 1 2 3 4 5 6 7 8 9 10 11 12 兔子的总对数 1 1 2 3 5 8 13 21 34 55 89 144 用数学函数来定义 F(n)={1，当n=11，当n=2F(n−1)+F(n−2),当n>2\begin {array}{c} F(n)=\begin{cases} 1，...

# 文件包含漏洞 # Principle and Harm 文件包含漏洞： 即 File Inclusion，意思是文件包含（漏洞），指当服务器开启 allow_url_include 选项时，就可以通过 php 的某些特性函数 include() , require()和inelude_once() , require_once() 利用 url 去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致住意文件读取或者任意命令执行。文件包含漏洞分为本地文件包含漏洞与远程文件包含漏洞，远程文件包含漏洞是因为开启了 php 配置中的 allow_url_fopen...

# 文件上传漏洞 文件上传 (File Upload) 是大部分 web 应用都具备的功能，例如用户上传附件、修改头像、分享图片 / 视频等 正常的文件一般是文档、图片、视频等，web 应用收集之后放入后台存储，需要的时候再调用出来返回 如果恶意文件如 PHP、ASP 等执行文件绕过 web 应用，并顺利执行，则相当于黑客直接拿到了 Webshell 一旦黑客拿到 Webshell，则可以拿到 web 应用的数据，删除 web 文件，本地提权，进一步拿下整个服务器甚至内网 SQL 注入攻击的对象是数据库服务，文件上传漏洞主要攻击 web...

# 安全渗透环境准备 # 实验环境 目标靶机：OWASP_Broken_Web_Apps_VM_1.2 https://sourceforge.net/projects/owaspbwa/files/latest/download OwASP Broken web Applications ProjectBroken web Applications (BWA)项目生成一个虚拟机，运行各种具有已知漏洞的应用程序，供以下人员使用:-了解web应用程序安全性-测试手册评估技术-测试自动化工具-测试源代码分析工具-观察网络攻击-测试wAF和类似的代码技术攻击渗透机：Kali...

本文章在我的 CSDN 和博客园账号都有发布，这里做了一点修改，完整代码请下载项目源码查阅或移步至博客园中阅读，附博客园本文地址：https://www.cnblogs.com/Harold-popo/p/12436682.html CSDN 博客账号已不更新，这里也附上地址：https://blog.csdn.net/UFO_Harold/article/details/104349663 # 开发环境 Visual Studio 2019 至少需安装 .NET 桌面开发 # 创建项目并配置 # 创建窗体文件 # 配置项目名称及框架 #...