前言 昨晚做了一些xss的题目,有点上瘾了,今天想着再找一些来做做. google了一下,发现了不少,找到这么一个. 地址: https://xss-game.appspot.com 这是一个国外的xss挑战,总共就6关,入门级别的,也没什么可讲的.记录一下吧. Level 1 第一关都是hello world的,没有任何过滤 参考payload: <svg/onload=alert(1)> Level 2 这一关的输出点是在标签之间,直接闭合前后标签,构造新的标签即可. 参考payload:…

在这个系列的第十六章节中Windows phone应用开发[16]-数据加密 中曾详细讲解过windows phone 常用的MD5,HMAC_MD5,DES,TripleDES[3DES] 数据加密的解决方案.本篇作为windows phone 数据加密一个弥补篇幅.将专门来讲解windows phone rsa数据加密存在问题解决方案以及和其他平台[Java]互通存在的问题. RSA算法起源与现状 如果你关注过近现代密码学的发展.你一定不会否认RSA的出现的重要意义. [上图:德国的洛伦兹密…

CODE 和0xpoker分0day 百度 取石子游戏. https://blog.csdn.net/qq_33765907/article/details/51174524 已经说得很详细了,慢慢来就好了. IOT 无题 流量分析题目,wireshark打开. 文件->导出对象->HTTP MISC 钢铁是怎样炼成的 https://pan.baidu.com/s/1DPuBCY-TRZg9mMQ23pm3Vg 密码:tq5b 这个绝对是明文攻击,可是我AAPR就是不行,又去试了下AZPR,…

Level 1  -  180831 第一关很简单,开胃菜 payload: http://localhost/xss_game/level1.php?name=test123<script>alert(1)</script>   Level 2  -  180831 找到两个思路: payload: test123"><script>alert(1)</script># 第一个点被转义了,但是第二个点正常. 只要能实现标签和引号闭合就可以了…

很少见的很简单的一道题 查看源代码 获得一段被注释的代码 直接?cat=dog即可得flag…

通过标题考虑可能为文件包含漏洞方面 打开网页 从页面并没任何思路,查看源代码 得到有一个跳转到./Archive_room.php的超链接,打开Archive_room.php 中央有一个secret按钮,点击 并无有用信息,但考虑是否在两个页面间存在一页面,但是迅速跳转,使用burpsuite抓取 发现其中存在一个secr3t.php网页 得到几个信息 1.flag在flag.php文件里 2.需要用get方式来获取flag,但禁止使用input,data,tp,../方式读取flag.php…

游戏是最好做也是最不好做的项目,游戏的好坏现在都是直接从数据来说话,Windows Phone的游戏应用同样不可能逃出这个行业准则,要说在市场里做的好,那就直接拿数据来说,几乎没人会去在乎游戏到底传达了什么,一刀切看收入,如果解决用户量的问题,下一步一定是收入问题,今天的老杨解迷就是探讨如何营造让人花钱的游戏. <我叫MT>.<魔卡幻想>2013年爆出在Windows Phone平台中500万/月流水的消息,引得2014年一片抢滩争夺WP,单单从数据来说,这应该是Windows P…

0x00 继续做xss吧 这次是xssgame 地址 http://www.xssgame.com/ 一共八关 学到了很多东西 0x01 啥也没有 <svg/onload="alert(1)"> 0x02 显然是这个点了 ');alert(1)('       就行了  多个属性用分号间隔 换行回车也行 0x03 换图片的时候发现#1 这个东西 找了下显然是这个点 双引号没有成功 试了下单引号 #1.jpg' onload="alert(1)"  然后就…

Welcome 复制黏贴flag即可 我相信你正在与我相遇的路上马不停蹄 关注微信工作号回复"我要flag"即可获得flag 代号为geek的行动第一幕:毒雾初现 发现flag为摩尔斯密码SYC{--. . . -.- .- -.-. - .. --- -. .... .- ... -... . --. ..- -. } 翻译网站百度找 翻译结果为:GEEKACTIONHASBEGUN 对应的flag:SYC{GEEKACTIONHASBEGUN} 2000字的检讨 看到是一个提交界面…

xss地址:http://www.xssgame.com/ 直接插入标签 构造语句,注意闭合 注意寻找输出点,这个会进行一次urlencode,和浏览器有关系,firefox过不了 javascript 伪协议 ng-non-bindable这个里面的标签都不会解析 正解:http://www.xssgame.com/f/JFTG_t7t3N-P/?utm_campaign={{$eval('alert(111)')}} 不懂,在这挖个坑再说 后面这几个看了一下都超过我现在的知识水平,我先去补一…