Blog of Xiaoxi

世界这么大,我想去看看

HACK.LU CTF 2017 Web Write-up

CTF

Hack.lu CTF Web题解,共勉。
HACK.LU CTF 2017 WP Mistune 这是一道Markdown的XSS题,题目中有一个测试页面用来测试具体输入输出,与此同时admin页面存在提示: We use m...

XSS测试备忘录

XSS

XSS测试备忘录,总结版。
XSS备忘录 0x00 渗透流程 观察输入输出点,测试waf过滤情况 简单: "'<script javascript onload src><a...

WHCTF 2017 Web Write-up

CTF

WHCTF的Web题解。和实验室各位大佬们一起打了这个赛季的第一场CTF。这场比赛的Web题目质量还是蛮不错的,学到了一些新的思路。在此感谢各位出题人的精心准备与辛苦运维。不过这场比赛最大的遗憾就是剧情竟然被反转了😢。果然出来混,还是要还的orz。上个赛季第一场不小心绝杀了一波AAA,这次被AAA绝杀了一波。
WHCTF SCANNER URL:http://118.31.18.64:20008/c181948a9bdee64753468823ac57a870/github.com/ 首先,...

0CTF 2017 Web Write-up

CTF

0ctf 2017 Web题目学习与分析
0CTF Temmo’s Tiny Shop 这是一个小型的购物网站,然后官方的解法应该是先刷钱(竞争?)买一个Hint,然后得到flag所在的表,再对order by后面数据进行盲注,得到...

NJCTF Web题解

CTF

上周末和Redbud的队友一起刷了NJCTF的题目。NJCTF的Web题有12题,非常多。团队的一部分人又跑去出题了,周学长也因为项目的问题没来打比赛。最后,就我和一个学弟打了这次的Web题目,打得比较艰辛。
NJCTF Web 一共做出了7题 Login 注册的时候,用户名可以用空格截断注册一个admin [很多空格]12345 ,密码aasdewdwqff然后,登陆admin ,密码aa...

another

Pwnhub

大佬们都说,Pwnhub的题值得一做,可以试一试,就尝试做了下这次的题目-another。
another php 一开始是各类杂技式的源码泄漏~ index.php~ 进入http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d20...

两道BKP CTF的解答

第一场CTF国际赛,记录一些笔记。
这周,跟着实验室各位大佬们参加了BKP的比赛。国际CTF比赛好像更加综合一些,对选手即要求二进制基础也要求Web基础。下面是两道Web题的解答。 Prudentialv2 这题是修复了201...

iodine初步研究

这里针对DNS 隧道软件iodine,进行一个初步的研究
iodine初步研究 Iodine 可以让我们通过DNS来隧道传输IPv4的数据。它适用于某些只能使用DNS服务的网络情况下,比如在某些防火墙的隔离下、某些Wifi登陆认证前等等。此外,它的使...

Web中的密码学

ECB问题、CBC比特翻转、Padding Oracle 攻击、哈希扩展攻击

这里针对Web中常见的一些密码学问题,进行总结。现在总结了ECB模式下的数据伪造问题、CBC比特翻转、Padding Oracle攻击和哈希扩展攻击。
Web中的密码学 0x00 前言 这篇wiki,我想将Web方面相关带有密码学属性的知识归纳、学习、总结一下。不过,由于个人能力的限制,这篇博文参考了很多大大的博客,也难免会有一些谬误(如果...

DNS、DNSSEC、QUIC协议学习

这里对DNS、SNSSEC、QUIC协议进行一个简单的学习与总结。
协议学习 1. DNS DNS最基础的作用就是实现域名到ip地址的映射工作。后期,经过扩展它还能提供主机别名、邮件服务器别名、负载分配等等功能。 DNS一般运行在UDP之上,使用53端口。...