技

概述 XXE（XML External Entity Injection）全称为XML 外部实体注⼊。 XXE 漏洞 是指攻击者构造恶意的 XML 数据，通过注入“外部实体”，从而达到 读取本地文件、发起 SSRF 请求、甚至 远程代码执行（RCE） 的目的。 ...

靶场地址 https://download.vulnhub.com/xxe/XXE.zip VM启动之后就是一个shell登陆界面，这里靶场没给账号密码，也不知道地址，这里用同NAT的虚拟机寻找一下IP地址存活 这里 .140是本机 .148就是我们要的XXE主机 同时发现了80端口 访问一下 发现一个 Apache2 初始界面 扫一下目录发现一个 /robots.txt 找到目录 /xxe /xxe/admin.php ...

HTTP 协议是一种明文传输协议 HTTPS=HTTP+SSL/TLS 非明文传输 SSL/TLS可以对数据进行加密、解密、签名和验证 http包括/1.1、http/2和http/3 HTTP 包括 HTTP/1.1、HTTP/2和HTTP/3 ...

身份验证：修改某个用户密码，管理员。cookie 会话管理：客户端连续不断的和服务器进行请求和响应 控制访问：登陆模块 登陆给定身份 身份去访问后台地址 /admin等 参考 https://forum.butian.net/share/2734 ...

靶场地址 https://mp.weixin.qq.com/s/7PZGTD0GXaJLYZ62k9GB4w 前景需要：小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！ 挑战内容： 黑客的IP地址 遗留下的三个flag ...

靶场地址 https://mp.weixin.qq.com/s/7PZGTD0GXaJLYZ62k9GB4w 答案 前景需要：看监控的时候发现webshell告警. 领导让你上机检查你可以救救安服仔吗！！ 需求 提交攻击者IP 提交攻击者修改的管理员密码(明文) 提交第一次Webshell的连接URL( xxx.xxx.xxx.xx/abcdefg?abcdefg 只需要提交abcdefg?abcdefg) 提交Webshell连接密码 提交数据包的flag1 提交攻击者使用的后续上传的木马文件名称 提交攻击者隐藏的flag2 提交攻击者隐藏的flag3 root/Inch@957821. ...

靶场地址 https://mp.weixin.qq.com/s/7PZGTD0GXaJLYZ62k9GB4w Windows应急响应靶机 - Web1 前景需要： 小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件： ...

靶场地址 https://mp.weixin.qq.com/s/7PZGTD0GXaJLYZ62k9GB4w Windows应急响应靶机 - Web2 前景需要： 小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。 ...