0x00 前言 什么是XXE 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,…
PHP反序列化学习笔记
0x00 前言 php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进…
BJDCTF 2020 web
Easy MD5 响应头里的hint告知了sql语句: select * from 'admin&#…
服务器端请求伪造笔记
0x00 前言 SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击…
BUU CTF web(二)
[RoarCTF 2019]Easy Java WEB-INF/web.xml泄露 WEB-INF主要包含一下…
Merak CTF 2020 web
Ez_bypass I put something in F12 for you include '…
BJD CTF 2nd web wp
fake google 正好是前段时间学过的flask ssti,先给出payload name={{&quo…
Flask SSTI/沙箱逃逸的一些总结
0x00 SSTI原理 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制…