前言靶机地址：https://www.vulnhub.com/entry/prime-1,358/This machine is designed for those one who is trying to prepare for OSCP or OSCP-Exam.This is first level of prime series. S...

Godzilla哥斯拉修改版(上) 分析篇前言哥斯拉(Godzilla)是一款国内流行且优秀的红队 webshell 权限管理工具，使用 java 开发的可视化客户端，shell 支持 java、php、asp 环境，通信流量使用 AES ...

简介：DVWA是一款基于PHP和mysql开发的web靶场练习平台，集成了常见的web漏洞如sql注入,xss，密码破解等常见漏洞。本教程将以DVWA为例，演示常见的web漏洞的利用和攻击。登录创建数据库（账号为...

Less-7废话不多说，接上篇文章，进入第七关，可以看到和之前关卡的提示有点不一样：You are in.... Use outfile......单引号报错，不过并没有显示详细的错误信息，如下：双引号返回正常，说明参...

pocassist是一个 Go (Golang) 编写的全新的开源漏洞测试框架，实现对poc的在线编辑、管理、测试。如果你不想撸代码，又想实现poc的逻辑，又想在线对靶机快速测试，那就使用pocassist吧。作者：j...

不安全的验证码（Insecure CAPTCHA）Insecure CAPTCHA(不安全的验证码)主要是绕过验证码的安全验证，一般都有逻辑漏洞。度（low）审计代码<?php if( isset( $_POST[ 'Change' ] ) &&...

前言这个靶场是红日的ATT&CK实战系列-红队评估（七）链接如下：http://vulnstack.qiyuanxuetang.net/vuln/detail/9/这个靶场兜兜转转弄了挺多次，大佬轻喷~~攻击图如下：由于环境问题，我将...

本篇文章是Spring渗透复现记录，记录了实际中常见的Spring漏洞并如何利用，及简单对漏洞底层的原理分析，分为四个部分：Spring简介、IDEA部署Spring、Vulhub靶场环境搭建和相关漏洞复现，在学习...

0×00简介本文使用自己编写的Python脚本，实现绕过某WAF限制，实现SQL注入。先解释一下Fuzz概念，Fuzz是安全测试的一种方法，面对waf无所适从的时候，可以使用Fuzz模糊测试来绕过waf，甚至你可...

babysql是   easysql的加强版https://www.freebuf.com/articles/network/274461.html尝试输入一下东西只回显 search success和hacker!典型的布尔盲注：length() 函数 返回字符串的长度 subst...