主页 / 乌云沙龙第三期(2015) / 赛棍的自我修养+搅屎的乐趣
  • 作者
    redrain@360
  • 标签
  • 简介

    摘要:知己知彼百战不殆,对于web渗透感兴趣的小伙伴走过路过千万别错过噢。感谢redrain大牛分享的渗透流程。先简单的信息收集,http报文,域名whois一些敏感文件路径等等,或者子域名,同服C段来找到入口,或者可以借助扫描器,如w3af、nmap之类神器,找到漏洞后直捣黄龙,祭出杀器sqlmap,havij。一洞不行再换一洞,也可以尝试从xss下手配合其他攻击手法来getshell。 也可以试试找其他漏洞,比如常见的命令执行,文件包含等等。实在不行,就用最简单粗暴的方法,通过字典来爆破帐号密码。最后就需要提升权限,就需要之前踩点的信息了,通过对数据库版本,系统版本,网站应用信息的了解来利用相应的EXP提权。忘记是哪位智者说过,攻击是最好的防守,一名真正的黑客是不会墨守陈规的,当然redrain也不会例外,除了完成CTF的比赛题目,偶尔也会捣捣乱搞点小破坏,不愧为专业赛(搅屎)棍.........

    议题

    • 0x00 CTF概览
    • 0x01 相关渗透测试技术
    • 0x02 CTF和实际场景的区别
    • 0x03 我是如何在CTF中充当搅屎棍的

    附件包含 - XDCTF思路分享

  • 援引
    http://zone.wooyun.org/content/17996
  • 提示
    本站仅做资料的整理和索引,转载引用请注明出处
附件下载
  • 赛棍的自我修养.pdf
    时间: 大小: 2.98 M 下载: 195
  • writeup.pdf
    时间: 大小: 19.26 M 下载: 247
  • redrain的ppt.zip
    时间: 大小: 22.17 M 下载: 292