草庐IT

lab2-Deadbeef-writeup

全部标签

文件上传及upload-labs闯关

文章目录一、一句话木马的编写及利用二、upload-labs第一关三、upload-labs第二关四、upload-labs第三关(双写绕过)五、upload-labs第四关(上传.htaccess绕过)六、upload-labs第五关(大写转换进行绕过)七、upload-labs第六关(文件增添空格绕过)八、upload-labs第七关(扩展名后添加点号)九、upload-labs第八关十、upload-labs第九关十一、upload-labs第十关十二、upload-labs第十一关十三、upload-labs第十二关十四、upload-labs第十三关十五、upload-labs第十四

AHU 2022 CTF新生赛web_writeup

第一次当出题人,给新生做的,简简单单啦~按不了的F12启动靶机:根据题目名称可知,这题与f12按键有关,即查看网页源代码。按下f12发现f12按键被禁用:尝试另一种方式:右键->查看网页源代码发现同样被禁用,尝试第三种方式:ctrl+u发现同样被禁用,于是,在chrome浏览器的选项栏中打开开发者工具或ctrl+shift+i:获得flag。GETandPOST启动靶机:根据题目名称可知,这题考察的是http协议的请求方法,主要是get和post两种。观察url发现:需要传入一个参数:what根据网页上的提示,将flag作为payload传入:页面反馈:这里考察更改请求方式的方法。使用burp

UPLOAD-LABS1

less1(js验证)我们上传PHP的发现不可以,只能是jpg,png,gif(白名单限制了) 我们可以直接去修改限制在查看器中看到使用了onsubmit这个函数,触发了鼠标的单击事件,在表单提交后马上调用了returncheckFile这个函数对上传的文件进行检查把onsubmit这个直接删除掉即可。当提交表单时执行一段JavaScript。它只认true或者false.如果不返回值,则默认为true上传同样的文件,蚁剑链接即可我们也可以直接去抓包修改 修改好之后就用蚁剑连接就可以了less2绕过MIMETYPEMIME:多用途互联网邮件扩展协议。用途为根据文件后缀名判断文件类型,用什么应用

机器学习图像特征提取—颜色(RGB、HSV、Lab)特征提取并绘制直方图

目录1颜色特征1.1RGB色彩空间1.2HSV色彩空间1.3Lab色彩空间2使用opencv-python对图像颜色特征提取并绘制直方图2.1RGB颜色特征和直方图2.2HSV颜色特征和直方图2.3Lab颜色特征和直方图1颜色特征1.1RGB色彩空间  RGB色彩模式是工业界的一种颜色标准,是通过对红(R)、绿(G)、蓝(B)三个颜色通道的变化以及它们相互之间的叠加来得到各式各样的颜色的,RGB即是代表红、绿、蓝三个通道的颜色,这个标准几乎包括了人类视力所能感知的所有颜色,是运用最广的颜色系统之一。RGB颜色模型的优点是:(1)易于理解;(2)便于硬件实现,现代显示屏一般基于RGB模型;(3)

【SEED Labs 2.0】ICMP Redirect Attack Lab

本文为SEEDLabs2.0-ICMPRedirectAttackLab的实验记录。文章目录实验原理Task1:LaunchingICMPRedirectAttackTask2:LaunchingtheMITMAttack实验总结实验原理ICMP重定向是路由器向IP数据包发送者发送的错误消息。当路由器认为数据包被错误地路由时,使用重定向,并且它想通知发送者它应该为随后发送到同一目的地的数据包使用不同的路由器。攻击者可以使用ICMP重定向来更改受害者的路由。本实验的目的是对受害者发起ICMP重定向攻击,这样当受害者向192.168.60.5发送数据包时,它将使用恶意路由器容器(10.9.0.11

node.js - 如何将我的应用程序连接到 Redis Labs 服务器?

我一直在尝试将我的Node应用程序连接到我的远程RedisLabs服务器。我有一个端点,据我所知,它是我的主机和端口(host.com:port)。我一直在尝试使用连接到云服务器constredis=require('redis');constclient=redis.createClient(process.env.REDIS_PORT,process.env.REDIS_HOST).on('error',err=>console.error('FUCK',err));client.on('connect',function(err,res){console.log('redisis

2023华为杯·第二届中国研究生网络安全创新大赛初赛复盘 Writeup

A_Small_Secret题目压缩包中有个提示和另一个压缩包On_Zen_with_Buddhism.zip,提示内容如下:除了base64还有什么编码MFZWIYLEMFSA====asdadad作为解压密码可以解开压缩包,里面有个txt文件,打开txt可以比较明显的看到PK文件头,进一步确认可以看出是一个word文件,把flag.txt文件后缀改为docx。用word打开后选中所有文字的颜色修改一下即可看到关键信息:flag{U2FsdGVkX1/nVMt/cXalqwb8VpS2mDk9UkTaHRPPq5TAtH8XxYVAwxtoDKe/yTN4zBas0WHmW50e2Qwgly

[网络安全]sqli-labs Less-26 解题详析

本关过滤空格orand/*#--/等符号可用过滤符如下%09TAB键(水平)%0a新建一行%0c新的一页%0dreturn功能%0bTAB键(垂直)%a0空格使用联合查询,具体原理及解题方法可见专栏:Sqli-Labs靶场专栏查库名:id=0'%0bunion%0bselect%0b1,database(),3||'1'='1回显如下:查表名:id=0'%0bunion%0bselect%0b2,group_concat(table_name),4%0bfrom%0binfoorrmation_schema.tables%0bwhere%0btable_schema=database()%26

xss-labs初学者通关详解1-18

很久的一篇文章有错误请指正~目录xss漏洞 level1-无过滤机制level2-闭合标签 level3-单引号闭合+添加事件 level4-双引号闭合+添加事件level5-新建标签​level6-大小写绕过 level7-双写绕过level8-编码绕过​level9-检测关键字level10-隐藏信息​level-11Referer信息 level-12user-agent信息 level3-cookie信息level14-exifxsslevel15-ng-include属性 level16-空格实体转义level17-参数拼接level18-参数拼接xss漏洞  非持久性get​ 持久

2022浙江省大学生信息安全竞赛技能赛初赛Writeup

文章目录miscmisc1-好怪哦misc2-神奇的棋盘misc3-segmentFlowwebweb1web2-nisc_学校门户网站web3-吃豆人rere1-ManyCheck前言:misc浅浅ak了一下,misc2一血misc3二血,最高冲上了第5,不过后来还是嘎嘎掉到第9,crypto和pwn一道没出真的太菜了(希望周末决赛能好好加油!miscmisc1-好怪哦拖到010观察得到是逆置的zip压缩包,简单写个脚本倒一下withopen('fuck.zip','rb')asf:hex_list=("{:02X}".format(int(c))forcinf.read())#定义变量接受