首页
学习
活动
专区
工具
TVP
发布

漏斗社区

这是一条通往白帽子的神奇之路!
专栏作者
151
文章
311084
阅读量
131
订阅数
基于百香果内网安全沙盘的SOCKS学习·上篇
上周斗哥给大家介绍来“百香果”内网安全沙盘的构建,主要用于学习内网渗透的基础环境,那么内网渗透中最基础的就是内网通信隧道了,本期给大家带来内网通信隧道中SOCKS的学习。
pensar
2021-01-08
8380
CTF必备技能之编码大全
编码根据百度百科的解释:指的是信息从一个形式或格式传换为另一种形式的过程,也称为计算机编程语言的代码简称编码。从我们的祖先仓颉造字再到0-9的阿拉伯数字的广泛使用,信息的记录和转化的形式也越来越多样化。那么在计算机以及通信等数字化领域,以01数字为基础同样也演变出了适用计算机不同领域的编码方法。其实编码的本质就是在原有字符集的基础上根据规则进行格式的转换,在CTF中misc类型的题中少不了有编码的存在,作为ctf的基础必备技能,为此斗哥整合了目前ctf中出现的各种各样的编码,以作为新手入门的一二指南。
漏斗社区
2019-04-29
9.7K0
CTF流量分析之wireshark使用
在CTF比赛中,对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件,参赛选手通过该文件筛选和过滤其中无关的流量信息,根据关键流量信息找出flag或者相关线索。
漏斗社区
2019-04-29
4.9K0
业务逻辑漏洞探索之活动类漏洞
很多平台都会通过参与活动类赢取奖励的功能的方式来吸引用户或是使用资金、虚拟货币、积分等进行交易,然而如果这些功能没有设计好,很容易造成重大的利益损失。例如年初拼多多被爆100元无门槛优惠券漏洞就使拼多多遭受一定量的损失。
漏斗社区
2019-04-29
1.5K0
DNS Rebinding 域名重新绑定攻击技术
近期斗哥在学习有关于浏览器同源策略方面的知识点,发现了一个有趣的绕过浏览器同源策略的方法,故在这一期的文章中与大家分享。
漏斗社区
2019-03-07
2.9K0
看!我手里有个Email收集神器
众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且更重要的是,大部分工作人员,在传输这些数据时,是为进行过加密的。记得在某云网上也有很多相关的由于邮箱泄露引发的“悲剧”。
漏斗社区
2018-12-14
7240
您有一份CTF代码审计文件等待查收
0x01 背景 上周总结了一些文件包含与伪协议结合的利用方法,本周就找一道例题进行演练。题目源自国外某挑战平台,平台上还有许多其他有趣的challenges题目,小伙伴有兴趣也可以上去好好玩耍一番。
漏斗社区
2018-03-28
9310
CTF| 这是一个刚挖好的洞······
背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究。 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结。 $$导致的变量覆盖
漏斗社区
2018-03-28
1.7K0
CTF| 吃个鸡,一起破流量分析题吧!
流量分析题是CTF杂项类常见的一种考点,考察我们分析网络流量包的能力。一般flag隐藏在某个数据包里面,或者需要从中提取一个文件出来等等,还有wifi的握手包,需要获取wifi密码等。 一、Wireshark的使用姿势 1.1 过滤报文 wirkshark的过滤器和过滤规则能够帮助我们迅速定位到要分析的报文。下面列举几种比较常见的过滤数据包的语法,具体的还请百度。 1.过滤IP,如源IP或者目标 x.x.x.x ip.src eq x.x.x.x or ip.dst eq x.x.x.x 或者 ip.a
漏斗社区
2018-03-28
2.8K0
工具| NSE漏洞审计和渗透脚本的demo
nmap为我们提供了较为精准的端口和服务探测的功能,如果我们在探测到某些端口或者服务的同时顺带检测下是否含有曾经爆出的漏洞呢?本期将以Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞为例子,为大家介绍如何用NSE来编写渗透脚本。 0x01 http 库的介绍 由于本次Weblogic 反序列化漏洞这个例子是以HTTP请求的方式来发送POC和相关请求,所以需要先掌握http库的使用。 1. 实现一个HTTP中的get方法 local http = require "
漏斗社区
2018-03-28
7570
工具| PocSuite 使用介绍
斗哥采访环节 (1)什么是POC? 答:POC是用来验证漏洞是否存在的一段代码,经常对漏洞做检测的同学对写POC这件事应该不陌生吧哈哈。 (2)框架有什么用? 答:通常我们写POC除了考虑它的通用性以外,还会考虑批量化,线程等。POC写多了需要规范管理和使用,于是框架应运而生了。我们可以写一个POC框架,帮助我们实现批量化和线程输出报告等等其他功能,这样我们就可以专心写POC的代码而不需要考虑其他问题。写一个框架当然不是简单的事情,所以可以先拿别人的框架来使用,必要的时候做二次开发,实在不好再自己写也不迟哈
漏斗社区
2018-03-28
2K0
没有更多了
社区活动
Python精品学习库
代码在线跑,知识轻松学
【玩转EdgeOne】征文进行中
限时免费体验,发文即有奖~
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档