marin的小窝
一个学习网安的小菜鸡
CTFSHOW-SSTI CTFSHOW-SSTI
SSTIweb 361 名字就是考点 这里就是考的参数是 name 这个就是最简单的 SSTI ,没有任何过滤 {{ "".__class__.__base__.__subclasses__()[1
2025-07-26 CTFSHOW
web 刷题 ssti
XXE XXE
XXEXXEXXE 全称 XML External Entity Injection 外部实体注入漏洞 XXE 会发生在语言程序解析 XML 时,没有禁止外部实体的加载,导致的漏洞漏洞触发点一般是可以上传 XML 文件的位置,没有进行过滤,
2025-05-22 WEB
web 漏洞
CTFSHOW-php特性 CTFSHOW-php特性
php特性web 89 开始php特性系列了,师傅们,冲冲冲! <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['
2025-05-20 CTFSHOW
web 刷题
CTFSHOW-命令执行 CTFSHOW-命令执行
命令执行web 29 命令执行,需要严格的过滤 简单的绕过 <?php if(isset($_GET['c'])){ $c = $_GET['c']; if(!pr
2025-05-15 CTFSHOW
web 刷题
SSTI SSTI
SSTISSTI当前使用的框架,python 的 flask、 java 的 spring 等都是用户的输入传入控制器,然后根据请求类型和请求的指令发送给对应的业务模块进行业务逻辑判断,数据库读取,最后把结果返回给视图层,渲染后展示给用户
2025-04-02 WEB
web ssti 漏洞
mimikatz 学习 mimikatz 学习
mimikatzmimikatz 是一个用来内网渗透的工具,之前一直只在取证的时候会拿来搞 windows 的密码,没怎么学,现在学一手这个工具是怎么使用的 mimikatz 介绍项目地址:ParrotSec/mimikatz m
2025-03-20 内网渗透
工具 渗透
流量分析 流量分析
流量分析wireshark 基本使用数据包筛选这是 wireshark 的重要功能,一般的流量都会有很多不同协议,直接看比较容易晕,用这个功能就会比较方便 IP 筛选源 ip 筛选 ip.src == 127.0.0
2024-12-12 MISC
misc 流量分析
2 / 2