Payloads

本文最后更新于2014年9月27日,已超过 1 年没有更新,如果文章内容失效,还请反馈给我,谢谢!

在测试XSS等漏洞的过程中可能会需要手工进行一些尝试,了解并熟练使用常见/有效的payload是很有必要的,于是从大牛们的分享中提取出了一些简短的payload方便输入/测试:

1.XSS(从Mramydnei大牛分享出的文档中提取)

 

2.SQL注入

……待添加……

3.待添加……

 

《Payloads》上有11条评论

  1. CTF线下攻防指南
    http://blog.nsfocus.net/ctf-off-line-attack-defense-guidelines/
    https://paper.tuisec.win/detail/f2cf0e4b0f4e92d

    CTF线下攻防赛主要以攻防模式(Attack & Defense)来呈现。一般在这种模式下,一支参赛队伍有三名队员,所有的参赛队伍都会有同样的初始环境,包含若干台服务器。参赛队伍挖掘漏洞,通过攻击对手的服务器获取Flag来得分,以修补自身服务器的漏洞防止扣分。

    攻防模式可以通过实时得分反映出比赛情况,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,同时也比团队之间的分工配合与合作。

    在线下攻防模式中一定要掌握以下几点。
    1.对于浏览器的使用。
    大部分漏洞都是网上可查的,所以一个好的搜索技巧是十分重要的。

    2.对于漏洞的反应能力。
    攻防模式中一般都需要GetShell,所以一定要多关注可以RCE的点。

    3.脚本的编写能力。
    在getshell之后拿到了Flag,如果有50个队,5分钟刷新一次Flag的话通过手动提交会使得一个队员只能提交Flag,而且还可能会Down掉,所以如果有一个可以快速编写脚本的人那就再好不过了。

    4.好的心态。
    服务Down掉不要慌,心态不要崩,崩了就什么都没有了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Read more, Write more, Think more, Know more.