0x00 背景 在看CNVD漏洞库的时候发现有师傅发了某cms前台SQL注入漏洞，通过查阅漏洞描述可知道存在问题的参数是cardpwd，便开始尝...

易通CMS是一个企业网站建站系统，本期带来其3.X.X版本中，前台SQL注入和后台文件上传的漏洞复现过程。 基础环境： 1. 虚拟机win200...

SQL注入是CTF的WEB方向必不可少的一种题型，斗哥最近也做了一些在线题目，其中最常见的题目就是给出一个登录界面，让我们绕过限制登录或者一步步...

0x00 序列化和反序列化 简单的理解：序列化就是使用serialize()将对象的用字符串的方式进行表示，反序列化是使用unserialize...

0x01 背景 上周总结了一些文件包含与伪协议结合的利用方法，本周就找一道例题进行演练。题目源自国外某挑战平台，平台上还有许多其他有趣的chal...

最近遇到Oracle注入的测试越来越多，而且互联网上oracle注入的总结较为少见，为了能够快速的进行漏洞测试和挖掘，诞生了想要把之前学习的Or...

0x00 背景 看了之前Gr36_前辈在先知上的议题，其中有提到排序注入，这个在最近经常遇到这样的问题，所以先总结下order by 排序注入的...

ZzCMS是站长招商网内容管理系统，目前官方版本为V 8.1，本期带来该版本某处上传点因过滤不严谨导致上传任意脚本文件漏洞的复现过程。 基础环境...

一.批量化扫描burp的请求日记 01.首先配置burp记录所有的request请求，并保存在指定文件夹，如我保存在sqlmap目录下名为sql...