加载中...

不以物喜,不以己悲

Cover Image

SJTU-CTF 2023 Writeup

好久没更新博客了,周记已经咕咕咕好几个月了,等有空再写吧(

作为一个非计算机和信息安全专业学生、除了 Web 方向会一点其它啥都不会的小白,前段时间参加了我校举办的 CTF 网络安全技术挑战赛。给官方提交了 Writeup 后想着不能浪费这水文章的大好机会,就在博客上也发一遍吧。

SJTU-CTF 2023 Writeup

一次任意文件上传漏洞的实战经历

这一切都要从一只蝙蝠说起…

最近看到了一个站,是某高中的在线英语人机对话练习平台,目测了一下网站应该是外包的,因为首页上还有客服的 QQ 和定制的联系方式…

像这种看上去粗制滥造的小网站肯定一挖一堆洞…果然1小时后搞定

声明:本文作者没有利用该漏洞做出任何恶意或违法行为,也未触及任何数据,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担

一次任意文件上传漏洞的实战经历

使用WPScan扫描WordPress博客安全性

写在前面:本文介绍的工具建议仅用于安全性测试,使用请遵守国家规定,本博客不承担任何责任。

最近看到隔壁的@崇宫苟道的一篇文章《冻果果?00后网络团队?抄袭?(持续更新ing)》,看完真的是被吓到了…我暂且先不对冻果果的行为做任何评价,毕竟今天的主题是使用WPScan扫描WordPress博客安全性,既然这个冻果果团队自称很厉害,那么就免费帮他们做下测试吧~

首先感谢@崇宫苟道给出的信息,该站的首页是个基于WordPress的论坛(真的长见识了…WP也能做论坛)

那么就拿出WPScan扫一下吧~

(前方大量代码块来啦~为避免影响主页效果,文章已折叠,点击下方继续阅读)

使用WPScan扫描WordPress博客安全性