本文记录了Hacker101 CTF中名为Encrypted Pastebin的题目的解法。该题要求技能为Web和Crypto,难度为Hard,共有4个flag,每个flag值9分。主要内容涉及padding oracle攻击、Python编程以及如何通过触发不同的报错获取关键信息。首发于先知社区。
本文详细记录了Django重置密码漏洞(CVE-2019-19844)的复现过程,简要分析了漏洞原理,讨论了攻击所需的条件。首发于安全客。
在SQL注入中有时会遇到这样的情况:若SQL语句正确,则页面正常返回,但返回的页面中不包含任何有用的信息,而当SQL语句错误时,页面会显示SQL错误信息。在这种情况下,可以使用Double Injection技术从数据库中读取有用的信息,因为在Double Injection中是将有用的信息写在SQL错误信息中的。这篇文章简要的分析了在Mysql中Double Injection的原理。