One Blog

DVWA靶机练习之XSS

XSS是什么 XSS(cross-site-scripting) 即是跨站脚本攻击，是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及用户端脚本语言。简洁点来说，XSS 就是利用了网站对用户输入没有过滤完全的漏洞，上传恶意代码到网站页面上，使得其他用户加载页面时执行攻击者的恶意代码，...

Posted by kevin on December 8, 2019

DVWA靶机练习之File Inclusion

preface 这是 DVWA 靶场练习系列的第五篇，这次的内容是文件包含漏洞，即服务器通过 php 的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。涉及到的危险函数：include(),require()和include_once(),require_once() 并且被包含的文件都是...

Posted by kevin on December 6, 2019

参加GitHub中国见面会是什么感觉

心动的感觉

某天，我的邮箱里出现一封来自 GitHub 官方的邮件，邀请我去参加 GitHub 在深圳的见面会，我还是挺高兴的，虽然知道肯定不止我一个人收到了邮件，并且自己一直都是 GitHub 的忠实用户，因此马上填了报名表，等待 12 月 2 号的到来。见面会地点离我的学校很近，走路十几分钟的路程，但是因为有事耽搁了，我就打的过去了，五点半开场，到那里的时候已经迟到了两分钟，本以为会是人山人...

Posted by kevin on December 2, 2019

竞斗云2.0刷openwrt出国

香是真的香

preface 早就想搞个路由器来刷刷固件，探索一下计算机网络了，原先我的路由器只是 40 块买的一个水星，不支持刷固件，最近矿难，在大佬的呼唤下入了一个竞斗云，原价 1888 ，现在某鱼只要 115 元，这下可以拿来好好研究一下了！这次就拿它来刷个 openwrt 固件，实现全家出国，教程是 YouTube 看的，固件也是在博主的电报群拿的，直接开始吧刷固件箱子外壳长这样 ...

Posted by kevin on November 29, 2019

逆向工程学习-汇编语法

preface 在逐渐深入底层的时候，汇编真的十分重要，它是一门直接操作硬件的语言，可以清楚的知道每一步指令过后 CPU 干了什么事，做到精准打击。在逆向中，学好汇编也是非常重要的，否则连题目都看不懂，这里我就来复习一下关于汇编的一些基础知识 x86汇编和 x64汇编 x86 是由 Intel 公司开发的一款 32 位架构，也称作 IA-32 和 i386，其汇编叫做 x86 汇编，...

Posted by kevin on November 27, 2019

关于CTF图片隐写的一些总结

隐写大法好

preface 这几天做了一下 BUUCTF 的杂项题，里面有很多都是图片隐写题，也有很多是重复的知识点，所以这里总结一下常用的做题套路，一般的题目解法大概都是下面几步。 0x01 查看详细信息之前经常有文章说自己拍的图片不要随便发，黑客可以获取拍照的位置，其实就是因为照片中会留下一些信息，我们可以在详细信息中看到，可能就会有题目将一些关键的信息放在这里 0x02 查看十六进制...

Posted by kevin on November 26, 2019

Kali Linux ARP欺骗获取明文密码

http裸奔

preface 想起来之前总是听别人说公共场合的 WiFi 不要乱连，会泄露隐私信息，一直不知道怎么会泄露，最近学了点网络安全的知识就自己做了个实验，来看看是否真的能抓到数据。实验平台：靶机：windows 10 物理机攻击机：Kali Linux 虚拟机整个网络拓扑如下：本篇文章纯粹为了提高人们的安全意识，切勿用作非法用途 ARP 协议先来简要的说一下啊 A...

Posted by kevin on November 24, 2019

让python拯救不看公文通的我

小爬虫爬啊爬

preface 作为不经常打开公文通的人，我经常会错过很多重要的信息，自己也是已经尝到了苦头，我就在想，反正我每天都会 check 自己的邮箱，能不能写个爬虫把公文通的内容爬下来，然后通过邮件每天定时发送给我自己，这样我就不会错过公文通了，项目驱动型学习，说干就干爬取网页爬取的网页是我们学校公文通，长这样，一页大概有几百条记录，并且只有一页，因此，感觉很简单，直接用 request...

Posted by kevin on November 22, 2019

BUUCTF Writeup：Misc

Continuous updating

preface 本文是 BUUCTF 杂项题的 Writeup，持续更新中金三胖下载后是一张 gif 图，隐隐约约看到了 flag ，直接用 StegSolver 的 Analyse-> Frame Browser对 gif 进行逐帧观察即可获得 flag flag: flag{he11ohongke} 二维码只有一个二维码，扫描之后也没啥信息，显示 se...

Posted by kevin on November 21, 2019

Base64原理以及隐写术

Base64是什么之前在我的印象中， Base64 很常见，很多地方都会听到这个名词，在 ctf 比赛中更是常见，因此，有必要搞懂它的原理。在维基百科中是这么介绍的，Base64 是一种基于 64 个可打印字符来表示二进制数据的表示方法。由于 2 ^ 6 = 64，所以每 6 个 bit 为一个单元，对应某个可打印字符。3 个字节有 24 个 bit ，对应于 4 个 Base64 单元...

Posted by kevin on November 20, 2019