web安全

买大橘子也用券

2026红明谷战队名称：Hex404战队排名：27解题情况：这题本质上是两个经典题型拼在一起：题目名字里提到 LCG 和 LHNP 很像，其实就是在引导你把“随机数恢复”和“格攻击”连起来看 exp.py

网络安全技术基础——第3章:网络攻击技术目录3.1 网络攻击概述1. 主动攻击2. 被动攻击3.2 网络攻击的常见形式1. 口令窃取2. 欺骗攻击

一名优秀的码农

vulhub系列-64-Cereal: 1(超详细)访问/blog该页面提示我们绑定hosts文件访问secure.cereal.ctf:44441/绑定hosts文件打开网页一看，经典的命令执行靶场页面。

一名优秀的码农

vulhub系列-66-Hms?: 1(超详细)访问查看网页源代码其页面源代码中有备注：-- for any PHP, Codeignitor or Laravel work contact me at mayuri.infospace@gmail.com

React2Shell漏洞攻击中的新型恶意软件EtherRAT详解在近期爆发的React2Shell高危漏洞（CVE-2025-55182）攻击事件中，安全研究人员发现了一款名为EtherRAT的新型恶意植入程序。该恶意软件不仅内置五种独立的Linux系统持久化机制，还通过以太坊智能合约与攻击者建立隐蔽且难以关闭的通信链路。

5.SQL 注入之高权限注入（下）：文件读写 + 写 Shell，从数据库权限到服务器控制权这篇博客结合 sqli-labs 靶场实操，从原理、条件、读取 / 写入函数到最终写 Shell 拿服务器，完整复盘每一个细节，既是自己的学习总结，也给入门的小伙伴一份可直接复刻的实战指南。

Vulhub 中的 bash CVE-2014-62710x00 前言声明：本文仅做学习交流，遵守《网络安全法》。先学习原理，一个挺老的漏洞了。该漏洞可以通过构造环境变量的值来执行想要执行的攻击代码脚本，会影响到与Bash交互的多种应用，包括HTTP、OpenSSH、DHCP等。

web安全-waf+免杀成功之后多几个文件夹配置百度的好像没有成功。。。。此时扫描目录，发现全部都是 200 可访问状态原因：很多扫描器为了追求较快的反应速度，都会使用 head 请求，从而被 waf 拦截

6.SQL 注入之基础防御：从魔术引号到类型校验，彻底封堵注入漏洞PHP 的magic_quotes_gpc是一个自动转义功能：当用户通过 GET/POST/Cookie 传入数据时，PHP 会自动给单引号'、双引号"、反斜杠\、NULL 字符加上转义符\，避免特殊字符破坏 SQL 语句。

网络安全许木

自学渗透测试第八天（网络安全法、伦理规范与工具链联动）树立法律与道德意识：深入理解《网络安全法》等相关法规的核心要求，明确渗透测试的法律边界和职业伦理，建立红线意识。

智擎软件测评小祺

从报告看懂安全隐患，提升防护能力渗透测试报告不仅是“漏洞清单”，更是企业提升安全防护能力的“行动指南”。很多企业拿到报告后，只关注漏洞数量，却不知道如何解读隐患、落地整改，最终导致测试流于形式，安全风险依然存在。下面通俗拆解，教你从渗透测试报告中看懂安全隐患，并将测试结果转化为防护能力，真正守住安全底线。

2.MySQL 手工注入：从原理到 sqli-labs 实战你可以把 MySQL 手工注入理解成：手动给数据库 “开后门”，一步步骗数据库把敏感数据吐出来。正常情况下，Web 应用会把用户输入（比如 URL 里的id=1）拼接到 SQL 语句里，发给数据库查数据。如果后端没做任何过滤，我们就可以手动在输入里加恶意 SQL 语句，一步步：

班级作业笔记报告0x10代码审计加载flag模块中的FLAG，返回源代码，判断/shrine/路由传入的内容，将小括号()过滤为空，设置aaa字符串为黑名单，把黑名单字符设置为None，防止利用，调用render_template_string渲染模板

渗透基础知识ctfshow——Web应用安全与防护（第一章）这里给大家简单写点渗透最基础的一些方法以及技能，主要来自于ctfshow 靶场；适合纯新手入门使用，难度极低。

Chamilo存在命令注入漏洞（CNVD-2026-14971、CVE-2025-50196）Chamilo是一款开源学习管理系统（LMS），专注于易用性和可访问性，采用PHP开发，支持LAMP/WAMP环境。其核心功能涵盖课程创建、学习路径设计、进度跟踪及评估，支持文档、视频、音频等多媒体资源管理。系统提供仪表盘数据可视化、论坛、即时消息等协作工具，并支持ONLYOFFICE等第三方集成以实现文档实时协作。全球超4000万用户使用，适用于教育机构、企业培训及社区学习场景，强调数据安全与多语言支持。

赵侃侃爱分享

AI怎么定义网络安全AI （人工智能）是指应用智能算法和机器学习技术来增强对网络威胁的检测、预防和响应。AI 使网络安全系统能够以超出人类能力的速度和规模分析大量数据、识别模式并做出明智的决策。

上海云盾-小余

服务器被入侵后如何快速止损？从排查到加固的应急处置全流程检查异常登录记录、CPU/内存占用突增、陌生进程、可疑文件修改时间、异常网络连接（如netstat -antp）。查看系统日志（/var/log/）、安全工具告警（如HIDS、EDR）及业务异常表现（如数据篡改）。

14000余台F5 BIG-IP暴露，高危RCE漏洞正遭活跃利用F5 BIG-IP访问策略管理器（APM）的关键安全漏洞正遭活跃利用，致使数以千计的企业网络面临风险。该漏洞被官方标记为（CVE-2025-53521），当其影响从标准拒绝服务（DoS）升级为严重远程代码执行（RCE）漏洞后，立即引发网络安全界的紧急警报。

班级作业笔记报告0x08全名叫服务器端请求伪造，攻击者可以构造并利用服务端发起请求的安全漏洞SSRF简单测试，创建一个dnslog，写入dnslog的域名

班级作业笔记报告0x09包含flag.php文件，GET传参接收select参数，反序列化select值，__desreuct判断password不等于100，等于则结束，不等于则进入下一个判断，下一个判断判断username是否等于admin，等于admin则全局$flag参数，输出flag