前言对于xxe漏洞的认识一直都不是很清楚，而在我为期不长的挖洞生涯中也没有遇到过，所以就想着总结一下，撰写此文以作为记录，加深自己对xxe漏洞的认识。 xml基础知识要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成...

第一：Tinypng地址：https://tinypng.com/ 这款工具我实在是太喜欢了，经常用到，最大限度的做到对画质无损的进行压缩 这个工具他同时支持对Jpg和Png的压缩。Tinypng也支持Wordpress和magent...

你可以在Github上获取hash_extender工具！ （行政说明：我不再在Tenable了！我的条款很好，现在我是Leviathan Security Group的顾问。如果您需要更多信息，请随时与我联系！） 不久前，我的朋友@...

貌似大多数渗透师都很少测试密码学方面的漏洞。我一直都对密码学颇有兴趣，于是决定研究web应用开发者误用加密算法的情况，以及如何利用这些漏洞。 一月份的时候，我研究了下对于一些比较弱的Message Authentication cod...

引言为什么会想到这个呢？上周末做了“强网杯”的童鞋们应该都能知道吧，它其中有个密码学的题目就是考的这一点。 sha1的hash原理说到要解释sha1的原理其实是非常复杂的，反正我这种智商的暂时还无法理解。所以，只能从面上跟大家谈一下我...

这是 ISCC 上的一道题目，抄 PCTF 的，并且给予了简化。在利用简化过的方式通过后，突然想起利用哈希长度扩展攻击来进行通关。哈希长度扩展攻击是一个很有意思的东西，利用了 md5、sha1 等加密算法的缺陷，可以在不知道原始密钥的...

Web题目系列4 上传绕过题目链接http://shiyanbar.com/ctf/1781 题目描述123bypass the upload格式：flag{} 解题思路随意上传文件，发现提示只能上传图片文件，上...

Web题目系列3 让我进去题目链接http://shiyanbar.com/ctf/1848题目描述 1234相信你一定能拿到想要的Hint:你可能希望知道服务器端发生了什么。。格式：CTF{} 解题思路用burp...

Web题目系列2 登陆一下好吗?题目链接http://shiyanbar.com/ctf/1942 题目描述 123不要怀疑,我已经过滤了一切,还再逼你注入,哈哈哈哈哈!flag格式：ctf{xxxx} 解题思路一...

概述解除CTF也有很多年了，但是真正的将网上的题目通关刷题还是没有过的，同时感觉水平下降的太厉害，这两个月准备把网上目前公开有的CTF环境全部刷一遍，同时收集题目做为素材，为后面的培训及靶场搭建做好准备。本文是2018年7月8日前所有...