网络安全

CTF Writeup: from_sqli_to_shell_i386

/

今天给单位的小年轻讲网络安全课程,用了 from_sqli_to_shell_i386 这个靶机。题目简单,iso 文件又小,很适合入门。 这个靶机上有一个网站。先找到网站的 SQL 注入点;然后通过 SQL 注入获取 admin 帐号密码;再使用 admin 用户登录,发现有文件上传的模块;通过文件上传漏洞上传木马文件,获取系统执行权限。Done 👌   贴一下详细的解题过程: 1. 先用下载到的 from_sqli_to_shell_i386.iso 文件新建一个虚拟机

CTF 流量分析

/

Wireshark 主窗口 注意,数据包详情面板中展示的信息是经过 Wireshark 解析并”格式化”过的,方便阅读。最下面的数据包字节面板里才是这个包的真实数据。 过滤器栏 在主窗口的过滤器栏中输入过滤指令来筛选数据。 常用过滤指令 ip 地址筛选 ip.addr == x.x.x.x 筛选 ip 地址为 x.x.x.x 的(包括源 ip 地址与目标