XXE漏洞攻击与防御

遇到很多次XXE漏洞了,这次运维赛有两个题目用到了XXE,重新温习一下XXE漏洞。 1.XML基础 学习XXE需要了解XML基础知识,XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬...

服务器端包含注入(SSI)

之前没见过这种漏洞(菜鸡……),运维赛遇到了正好学习下,记录下来。 1、关于SSI SSI是英文"Server Side Includes"的缩写,翻译成中文就是服务器端包含的意思。SSI是嵌入HTML页面中的指令,在页面被提供时由服务...

高校运维赛 2018 部分Writeup

不多说,又学到知识了!orz.. 记录一下思路。 WEB 1、SimpleBBS 登陆处存在Error-based注入。在注册处用了很多时间,最后通过错误信息发现本来就是不能注册的,登陆处账号密码随便登陆提示“Something wrong”但...

两道用到异或的题目-Writeup

1、省赛初赛 签到题 解压文件得到一张图片但是打不开,放进winhex里,发现文件格式错误,将文件与正常png文件异或发现正好得到kelaibei,得到异或的key,然后用key将整个文件进行异或 #coding:utf-8 b = 0xE23...