是时候解释一下一周没有更新的原因了
今天4月7日, 过去的一周里面, 我大概做了以下事情
- sql注入总结, 包括 数字型 字符型 布尔型 盲注总结
- docker成功地在虚拟机中搭建了环境, 试水了两道web题, 一题没看出来是.git源码泄露, 另外一题是xxe泄露, 小白目前还不是很懂
- 趁势总结了一些源码泄露的情况,包括.git源码泄露, .DS_store源码泄露, .swp文件等等
- 重新再一次把python拾起来了, 目前python脚本还是写不好, 继续加油
- 软件安全课上刷了一遍王爽的汇编教材, 表示收获很大, 寻址, 跳转都弄懂了一些
- Linux堆的数据结构, fastbin attack, pwn tools 的使用 还有gdb及其插件 peda和 pwndbg
貌似就这么多。
哦对还把代码审计的题目做了一些, 大部分都是数组直接绕过了
将要做的一些事情
- 继续学习pwn, 作为一个pwn新手来说, 在两天之内弄清楚和堆相关的知识, 速度还是可以的, 不过前面的基础不牢。 尤其是栈溢出, 还有各种姿势, pwn的学习应该就是不断地揣摩套路的过程, 还可以参考大佬们的blog, 虽然都写得很含糊
- sql注入其实掌握的不是很牢靠, 尤其是用python写脚本, 进行盲注是我的弱项, 后期一定要加强python脚本的训练, 包括pwn这个模块的使用。 当然别忘了gdb
- xss, xxe这几种新型的攻击方式应该取学一学
网友评论