Track 综合学员

罗轶凡

1关注
0粉丝
7文章
返回网站首页

您已发布 7篇文章作品写文章

攻防世界 web新手村011:command_execution

题目当输入一个IP地址的时候,下面弹出了如下内容可以看出,这里执行的是系统命令,但不知道是CMD命令还是Linux命令尝试拼接命令进行判断,如果拼接的命令下面没有回显那说明应该拼接另外一种命令,如下图上边cmd命令无回显,下边Linux命令有回显,说明该系统的指令为Linux接下来要用pwd查找目前所在的位置尝试跳到最前面,但是第二次跳的时候又回到刚才的位置了只能拼接长的命令了依次访问每个目录,看

 2021-8-25
 0 
 1212 

【限时投稿】通过绕过WAF挖到两个漏洞

前言:最近看到了山某云大佬写的挖掘SRC漏洞的文章,看了以后就想着自己动手试试,结果一挖连着挖了两个漏洞首先就是找漏洞,使用谷歌语法 inurl:asp(php/jsp/aspx)/?id=1找到了疑似有SQL注入的页面,判断有没有SQL注入漏洞,在后面加and 1=1 和 and 1=2 进行判断,被WAF拦截了,通过WAF识别,判断了这是WTS-WAF ,网上搜索该WAF的拦截方法,可以用

 2021-8-10
 0 
 1549 

欧洲杯电脑看球神器

2020年欧洲杯延期了1年之后终于来了,然而在央视网上等到半夜3点的时候,居然出来这么一句话:瞬间有点懵,不过看到了还能在央视频看,就打算百度一下央视频然后点开来看,发现只能用手机看手机就5-6寸,真拿手机来看肯定不爽吧。这个时候灵光一现想到了聂风老师讲APP渗透用的雷电模拟器,看看能不能在那里下一个央视频雷电模拟器中确实可以找到央视频,之后正常安装、打开,就可以像手机横屏一样看球了PS:如果雷

 2021-6-12
 0 
 1031 

10期-工信部中国软件评测中心面试经验分享

面试单位:工信部计算机与微电子发展研究中心(中国软件评测中心)面试职位:网络安全实习生-渗透测试方向所在城市:北京这个实习是在boss直聘上找的。在简单地和boss聊了几句之后,boss就要了我的简历并安排了面试面试官问题:1.请你做个简单的自我介绍我叫罗XX,来自XX,目前在杭州XX科技大学读计算机专业2.你有挖过什么漏洞吗?怎么挖的?我就把我之前SRC活动挖过的逻辑漏洞给说出来了3

 2021-4-14
 2 
 1184 

用sqlmap做4.1.(1-4)-SQL注入-显错注入Rank (1-4),得到flag

首先在sqlmap所在的目录栏里输入cmd打开sqlmap将靶场的地址输入到sqlmap里面记得在网址前面加上 -u可以查看它的注入漏洞有盲注和联合查询注入查看它的数据库有哪些查看它的表有哪些从第一个开始试,假设它的数据库是error,继续查它的表得到两张表,从有flag的那张表入手胜利就在眼前了,对flag进行脱库(枚举数据)得到4个flagPS:这4个flag是我之

 2020-11-18
 4 
 239