本文仅作为技术讨论及分享，严禁用于任何非法用途。

前言

在日常使用sqlmap中，可能我们会遇到明明手工注入能发现注入点，但是sqlmap发两个包就不再往下跑了，这是怎么回事呢？又该如何解决？

前言

本文转载自LandGrey/SpringBootVulExploit，在此膜拜大佬。

Spring Boot Vulnerability Exploit Check List

Spring Boot 相关漏洞学习资料，利用方法和技巧合集，黑盒安全评估 check list

本文仅作为技术讨论及分享，严禁用于任何非法用途。

前言

在某次演练中，发现了一处XSS注入点，位于input标签内，但是它拦截了大部分事件且拦截尖括号，并且标签内有disable，导致无法利用，本文记录一下绕过过程。

本文仅作为技术讨论及分享，严禁用于任何非法用途。

前言

本题来源于XCTF 4th-CyberEarth，攻防世界WEB进阶021上是原题，题目名称为ics-05，题目信息如下。

本文仅作为技术讨论及分享，严禁用于任何非法用途。

1. 在联网的主机上执行pip下载第三方库，如gevent、tqdm

   1	pip2 download gevent tqdm -i https://mirrors.cloud.tencent.com/pypi/simple/

2. 复制下载的包到离线主机上，使用以下命令安装，其中pylibs是安装包保存的目录

   1	pip2 install --no-index --find-links=file://c:\pylibs gevent tqdm

背景

本题来源于2018年网鼎杯，攻防世界WEB进阶019上是原题。题目考察的是SQL注入中的UNION注入、SSRF和反序列化的组合利用，是一道比较综合性的题目，值得学习。

背景

本题来源于攻防世界，MISC题，题目考察的是二维码修复能力。

正文

题目是一张GIF图片，使用图像软件逐帧查看可发现里面有个二维码，我这里使用的是ImageGlass，免费软件。

前言

本题来源于攻防世界WEB题，题目名称为mfw，考察的是PHP代码注入，需要有点脑洞，故记录一下。

背景

在某次比赛中碰到一题很魔幻的题目，让我印象深刻，特别是赛后主办方提供的wp（见下图）看得我久久不能忘怀，机缘巧合之下，又碰到了这一题目，故来分析一下。

前言

本文为某次培训练习题解题过程，该题考察SQL注入绕过方法，难度中等。