DogeWatch's Blog

想撬锁的看门狗

半自动化SQL注入检测

openresty

“gougougou” 前言前几天在网上看到某个大牛博客的一篇文章，是关于如何利用openresty来进行自动化SQL注入挖掘的，心痒之下决定自己动手搭一个平台试试。搭完之后效果感觉不是太好，勉强只能算是一个半自动化的平台，还有待以后改进。原理一、利用nginx做正向代理，通过代理访问待检测的网站。二、利用redis记录访问的所有请求。三、利用sqlmap对所有...

Posted by dogewatch on March 28, 2016

0CTF

web

“菜如狗” 前言 16年第一场CTF，被老外虐成渣渣，惨惨惨惨惨。。。 RAND 先上题目代码： <?php include('config.php'); session_start(); if($_SESSION['time'] && time() - $_SESSION['time'] > 60) { session_dest...

Posted by dogewatch on March 14, 2016

Wooyun Bugs

spider

“little little spider” 前言最近挖漏洞挖得眼睛疼，于是想换个事做，玩玩爬虫。要问爬虫技术哪家强，当然要属scrapy。正文闲话也不多说，直接上代码吧。 #!/usr/bin/env python # encoding: utf-8 import scrapy try: from scrapy.spider import Spider...

Posted by dogewatch on March 9, 2016

escape.alf.nu

Part 1

“X站之路” 前言看了一段时间的XSS，打算找点东西练练手，于是就找到了这个。边查资料边做，还是有些收获吧，这里先把前面15个题做个总结。正文第0题 function escape(s) { // Warmup. return '<script>console.log("'+s+'");</script>'; } 这里没有做任何的...

Posted by dogewatch on December 20, 2015

安全·书单

转自@安全_linso

“慢慢看。” WEB安全《http权威指南》《javascript权威指南》《xss跨站攻击与防御》《web前端黑客技术揭秘》《白帽子讲web安全》《metasploit渗透测试指南》《代码审计：企业级web安全代码架构》配《细说php》《kali linux & back track 渗透测试实践》《sql注入攻击与防御》《网络扫描技术揭秘》《py...

Posted by dogewatch on November 30, 2015

RCTF

web writeup

“here we go.” 前言这次RCTF只搞了web题，其他题完全没时间去碰啊。。 web 1 注册登陆进去后发现有上传，随后试验各种后缀名发现只有.jpg可以，顺便一提每次上传要过验证码真是蛋疼。随便上传个文件后发现会返回文件名和uid(这个uid一开始没发现作用，后来看了tomato大牛的题解才明白是啥用，后面再说) ，随后会在上传的页面回显文件名。于是就在这...

Posted by dogewatch on November 19, 2015

Welcome to My Blog

"Hello World, Hello Blog"

“黑喂狗。” 前言终于开博客咯，人生第一个博客。至于为什么挂在git上，其实是没钱买VPS >_<，先就酱吧。正文之前在一个大牛(貌似是pithon牛)的博客里看到他说他每天为了更新博客，不得不去不断地发现新的东西，研究新的姿势。看了后觉得很有道理。博客这种东西，不但是为了分享自己所得，也是为了促使自己进步。相信那句话，菜不要紧，整就行。 ...

Posted by dogewatch on November 19, 2015