网上似乎没有一篇比较完整的CTF Web题思路的总结，希望这篇“最全总结”对各位师傅有帮助。 基础 Flag可能出现的位置 网页源代码（注意注释） 数据库中 phpinfo 靶机中的文件 环境变量 题目要求 XFF/Refer/UA/Cookie/F12( view-source:…

第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQL和PHP的应用环境，本节演示的是WDLinux的一款集成的安装包。 首先，下载需要的安装包，命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压，解压文件的命令为tar…

新的一年，难免有不少小伙伴面临跳槽或者找工作，本文总结了常见的安全岗位面试题，方便各位复习。祝各位事业顺利，财运亨通。 php爆绝对路径方法？ 单引号引起数据库报错 访问错误参数或错误路径 探针类文件如phpinfo 扫…

1-3 Web通信原理 一、基本知识介绍 IP 正统定义：互联网协议地址，缩写为IP地址，是分配给用户上网使用的网际协议的设备的数字标签。 老师理解：ip实际上就是地址，如果我想到你家去玩，那么我肯定要知道你家…

3.22 CSRF漏洞介绍 CSRF (Cross--site request forgery，跨站请求伪造））也被称为 One Click Attack 或者 Session Riding，通常缩写为 CSRF 或者 XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与 XSS 非常不同，XSS 利用站点内的信任用户，而 CSRF 则通…

主机信息收集技术—基础知识： 主要收集目标主机的相关信息，主要包括端口、服务、漏洞等信息。信息收集手段多样，可借助工具也多种多样。端口扫描：Nmap主机信息收集技术—Nmap： namp 192.168.1.1 namp -A –T4 -v 192.168.1.1-A 开启操作系统识别和版本识别功…

信息收集 假如给你一个网站你怎么去渗透 步骤 首先看是什么类型的网站，大型网站可以去天眼查等查询法人股份等信息，小型网站可以查询使用了哪类建站系统。 whois信息查询 获取注册者邮箱姓名电话等 查询服务器旁站及子域名站点，因为主站一…

美亚杯服务器部分 Individual I. 案件详情 于2022年10月，有市民因接获伪冒快递公司的电邮，不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后…