#Bypass

最近围观了一次Webshell攻防的比赛,内容大致就是通过构造php webshell,绕过检测。代码越短,分数越高。在比赛之后看了一些资料与大佬们比赛的绕过文章,学习到了很多。本想像xss那样把基本的姿势都整理好,但是这个php构造的方式实在太多,只能整理一小部分。没有接触到的内容就留到后面再慢慢学习吧… 这里只针对一句话木马进行的免杀总结,所以大马部分就先舍弃。

参考的文章都已在文章末尾列出,这篇短文仅将思路与一些知识点总结一下。(其实更像是一个备忘录)

mehr

这部分是从其他师傅们的文章里摘抄的笔记与一些其他内容的总结,以便学习与复习。

什么是CSP?

Content Security Policy (CSP)内容安全策略,是一个附加的安全层,有助于检测并缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入攻击。

https://www.w3.org/TR/CSP3/

mehr

今天遇到了一个Markdown的编辑器,打开后看了一下。突然想到之前在之前遇到的一个Markdown Self xss,心想这个是不是也会有同样的问题?于是测了一下,结果还真找出来了。更巧的是,今晚上学习正则表达式的时候,竟然正好学到匹配Markdown标签的内容,而且匹配之后会出现的情况跟我今天测试的一模一样~

以前也总结过关于Markdown中的xss,除了直接把xss payload复制到编辑框以外,还有构造markdown的一些标签:

mehr

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×