in PENETRATIONDomain-Sec

域与活动目录域是一种逻辑的组织形式活动目录是实现域的方法域树与森林若组织的网络环境足够庞大与复杂。则在AD中可分配数个网域。而网域间需要建立关系,将这种关系阶级化,则为网域树(Domain Tree).在多网域环境下,不同网域之间会需要交换与共享资料,这时候需要一个角色为不同网域间的资讯交换角...

in PENETRATION

XXE injectionXXE injection (XML External Entity Injection) 即XML外部实体注入攻击。漏洞原理即是在对非安全的外部实体数据进行处理时引发的安全问题。漏洞发生在应用程序解析 XML 输入时,没有禁止或合理过滤外部实体的加载。XML 相关概...

in PENETRATION

RPO(Relative Path Overwrite)RPO(Relative Path Overwrite)相对路径覆盖,是一种利用相对URL路径覆盖目标文件的一种攻击手段。该攻击方法利用的是浏览器和服务器对资源加载的差异,通过一些方法和技巧,在相对路径处引入攻击者可控的静态文件,从而实现...

in CTF

解密方式Pre-Master-Secret log解密RSA key解密Pre-Master-SecretPre-Master-Secret是在TLS/SSL握手过程的client_key_exchange阶段由浏览器根据自己生成的随机数生成。用于后续的对称加密阶段的秘钥协商。具体要了解SSL...

in PENETRATION

SSRF漏洞成因当Web漏洞提供从其他服务器获取数据的功能。使用用户指定的url,web应用可以获取图片,下载文件,读取文件等。如果没有对这个功能进行合理限制,攻击者就能利用这个功能最为代理攻击脆弱内网。也称为服务端请求伪造。SSRF脑图SSRF漏洞模拟PHP中的SSRFphp file_ge...

in Code-Audit

Typecho简介Typecho是一个轻量级的博客系统,从编码的角度来看,与其说Typecho是一个博客程序,不如说它更像一个框架。Typecho摈弃了传统的MVC架构,采用自创的Widget为基本,以组件的形式构建整个应用。正是由于Typecho优秀的编码和架构,学习Typecho的编程思想...