靶场安装我这里直接本地PHP_study安装了 这里没什么好说的，第一步就是去配置文件里改一下数据库相关配置 然后点击安装/初始化 暴力破解 Burte Force（暴力破解）概述 “暴力破解”是一攻击具手段，在web攻击中，一般会使用这种手段对应...

比较简单的洞，其实在CTFshow平台上，这部分题目直接放在xss了，当然这部分和XSS也非常相似，都是利用了HTML和JS CSRF是什么跨站请求伪造，允许攻击者诱导用户执行他们不愿意执行的操作。允许攻击者部分规避同源策略，该策略旨在防止不同网站之...

我很幸运，参加了2022的国家hw行动，7.24-8.8 历时十五天，结交了一些圈内大佬 说实话，hw很难学到一些技术性知识，就算有，也是摸鱼时闲着没事自学的，还有就是一些安全设备使用，幸运的话，可以学一些研判甚至是溯源相关的知识。 hw最主要就是结...

第一次做这么多取证题，也是学到了很多东西 手机取证手机取证_1 ​ 现对一个苹果手机进行取证，请您对以下问题进行分析解答。 ​ 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？（答案...

不能鸽了，从考试周，鸽到现在，新建文件夹半个月了，今天必写出来 开始咱们先说点流量分析常见的题目。 flag能直接找到这部分题可能就难在谁有耐心吧，最简单的就是通过flag查找工具，直接找到flag，或者是通过常见编码后的flag 常见的有这几种 ...

这一系列一共有两部分，一部分是日志分析的三个题目，另一部分是简单的日志分析 日志分析（1）这题让找源码文件，根据经验，源码一般放在www/wwwroot下边 直接CTRL+F找一下，果然有。 （2）一眼顶针 解码看看 这不很明显sess_car...

跨站脚本攻击在这一套题目中体现的淋漓尽致。 web316跨站脚本攻击，现时跨站，这里我用的自己的服务器，当然也有用各种xss网站的， 都差不多，比如http://xsscom.com/加载的还比较快。 我用的自己服务器，贴上一个这个脚本 123456...

文章引用自：https://portswigger.net/research/xss-without-html-client-side-template-injection-with-angularjs 研究员加雷斯·海耶斯 @garethheyes...

在这之前先搞清楚xss的原理 XSS的原理和分类xss呢就是在web页面插入一段恶意的script代码，用户浏览页面的的时候，嵌入web里的script代码就执行，然后就达到恶意攻击用户的目的。xss是针对用户层面的攻击。 xss有三类：存储型、反射...

数据包中的线索题目在这儿 wireshark打开，追踪流一波 这base64编码，来这儿解码一下 然后就能得到一张图片 flag显而易见 被偷走的文件题目在这儿 这题可不全是流量分析 wireshark看一波 一打眼，有ftp，一想《文件》，...