XSS平台搭建

作者: 分类: Web 时间: 2016-08-06 评论: 2条评论

0x00 前言

检测网站的时候用到xss,到网上找了个来用发现完全没用,于是就自己搭了一个,方便以后的测试和使用。LAMP+xsser.me 1.3

0x01 准备工作

LAMP配置这边就不多说了,网上教程很多。直接下载源码(我已经搞了一份到我的github上了)

0x02 基本配置

下载下来,先把xssplatform.sql文件里的xsser.me/改成自己的域名ifuryst.com/xss/(PS:有多处需要修改)

旧版本需要修改/themes/default/templates/register.html里的提交注册为type="submit"

register.png

修改config.php

阅读全文»

爬乌云公开漏洞、知识库到本地搭建

作者: 分类: Web 时间: 2016-08-04 评论: 暂无评论

声明

python写的爬虫,版权归hanc00l所有。
公开漏洞和知识库来源于乌云,版权归wooyun所有


工具地址如下,自行git到本地搭建爬行,或者直接下载打包好的虚拟机直接开搞。
https://github.com/hanc00l/wooyun_public

阅读全文»

X-NUCA 7月Web专题赛前指导

作者: 分类: CTF 时间: 2016-07-26 评论: 暂无评论

X-NUCA全国高校网安联赛赛前指导-合天网安实验室

Web进阶篇


0x01 捉迷藏

Ctrl+A或者看下源码有个页面,访问后会自动重定向,抓个包或者curl一下就有了

0x02 简单问答

    <form method="post" action="">
    Q1) This is HT-CTF____" :<br>
        <select name="q1" id="q1">
            <option value="0000">0000</option>
            <option value="0010">0010</option>
            <option value="2010">2010</option>
            <option value="2011">2011</option>
            <option value="3100">3100</option>
            <option value="2015">2016</option>
        </select><br/><br/>
    Q2) Acronym for "laughing out loud" :<br> 
        <input type="text" name="q2" id="q2" onblur="myFunction()"><br/><br/>
    Q3) Standard port for SSH :<br> 
        <input type="radio" name="q4" value="20">20<br>
        <input type="radio" name="q4" value="21">21<br>
        <input type="radio" name="q4" value="22">22<br>
        <input type="radio" name="q4" value="23">23<br>
        <input type="radio" name="q4" value="24">24<br>
        <input type="hidden" name="success" value="false">
    <input type="submit" disabled value="Submit Quiz">
    </form>

注意看源码,脑洞题
最后构造q1=2016&q2=lol&q3=22&success=true
POST提交,就可以了。

阅读全文»