本文转自先知社区：https://xz.aliyun.com/t/6631 前言： 最近参加了一次线上赛，发现其中有一道web题蛮有意思，之前是一道国赛题的，这次是加了点WAF，但当时没有仔细学习过HTTP协议和HTTP走私协议，所以也就没有绕过WAF，这次就来弥补这个遗憾 HTTP/1.1协议 定义： HTTP(超文本传输协议)：一种无状态的、应…

最近接连碰到了3道关于png中CRC检验错误的隐写题，查阅了相关资料后学到了不少姿势，在这里做一个总结 题目来源： bugku-MISC-隐写2 bugku-MISC-再来一道隐写 JarvisOJ-MISC-炫酷的战队logo 基础知识： ​ 先分析png的文件格式，用16进制编辑器010editor打开一张正常的png图片，逐字节分析如下： 前…

之前更新了Cobalt Strike系列教程第一章：简介与安装，文章发布后，深受大家的喜爱，遂将该系列教程的其他章节与大家分享，提升更多实用技能！ 第二章：Beacon详解 一、Beacon命令 大家通过上一篇内容的学习，配置好Listner，执行我们的Payload后，即可发现目标机已经上线。 右键目标interact来使用Beacon，我们用它…

Cobalt Strike是一款超级好用的渗透测试工具，拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等多种功能。同时，Cobalt Strike还可以调用Mimikatz等其他知名工具，因此广受技术大佬的喜爱。 Cobalt Strike是由美国Red Team开发，官网地址：coba…

前言 最近在看php代码审计，学习下代码审计，看了不少师傅的博客，写的很好，下面不少是借鉴师傅们的，好记性不如烂笔头，记下，以后可以方便查看。php代码审计需要比较强的代码能力和足够的耐心。 代码审计--准备 1，先放一张大图，php代码审计的几个方向，也是容易出问题的地方，没事的时候可以多看看。 2，代码审计也就是拿到某网站的源码，进行审计，从而…