我的筆記


  • Race conditions

    Race conditions為常見的漏洞,與業務邏輯缺陷有密切關係。當網站在沒有足夠保護措施的情況下同時處理…

    閱讀全文

  • HTB WS-Todo

    透過SSRF訪問有XSS弱點的頁面,載入惡意代碼代碼取得加密信息,在透過輸入超長內容導致密鑰可控,以解開加密信…

    閱讀全文

  • HTB petpet rcbee

    分析依賴包發現RCE漏洞,並使用該漏洞取得flag

    閱讀全文

  • HTB diogenes rage

    使用條件競爭漏洞一次購買多張優惠券

    閱讀全文

  • HTB twodots horror

    為了饒過CSP保護機制,所以使用polyglot製作xss圖片並上傳到目標網站,在利用目標未HTML轉義弱點執…

    閱讀全文

  • HTB easter-bunny

    用X-Forwarded-host改變讀取js的來源,在讓目標緩存中毒,使得代碼被惡意緩存影響而執行攻擊js,…

    閱讀全文

  • HTB COP

    使用sql injection漏洞將惡意的反序列化內容喂入目標,以執行特定的惡意指令

    閱讀全文

  • HTB Neonify

    攻擊策略為饒過字串保護,並透過ruby ssti執行任意指令

    閱讀全文

  • HTB toxic

    用任意檔案讀取漏洞存取系統日志,在利用任意代碼執行漏洞在日志內產生指令讓系統執行

    閱讀全文