某大学关键系统shell过程记录
1.前言本文只作复盘记录,不得将其用于违法用途。 2.记录是某大学的教师个人主页网站,预览界面如下: 在某次大规模的内网扫描中发现有一个弱口令的MYSQL, 密码是root 123456 登录进去发现有些熟悉,发现是咱们学校教师个人主页的后端数据库,由之前对整个网站的架构了解到这应该是一个站库分离的系统。 但是十分可惜的是这个似乎是一个已经被弃用的数据库,里边的数据都有好多年没更新了。。 而
DDCTF 2020 Web WP
Go实乃知识盲区 这是一篇复现记录,部分思路参考了如下链接,赞美师傅wywwtwx 参考:DDCTF 2020 Writeup - 安全客,安全资讯平台 Web签到题 前面的相信大家都懂,是JWT爆破,但还是梳理一下 根据提示在用POST传参可以拿到JWT 在拿去爆破后可得到Secret值(似乎是你的用户名,然后群里有师傅用户名乱输然后没爆破出来。。) 爆破工具是c-jwt-cracker(需要
BUUCTF RE crackMe WP 详细解析
前前后后参考了几篇博文,感觉自己有些值得分享的东西,就有了这篇文章 题目地址:https://buuoj.cn/challenges#crackMe 首先,国际惯例,查壳 没壳,拖进IDA里通过String定位到关键代码: 首先是主函数代码: 1234567891011121314151617181920212223242526272829303132333435363738394041424
