信息工程实验室“网络安全暑期社会实践”实训团7月19日在学长的带领下,对web进行了更一步的学习、学长在ssrf,文件上传漏洞,xxe,sql注入,文件包含漏洞等多个方面对我们进行指导,并且向我们介绍了各种各样的工具:python、php、burpsuite、postman、dirsearch、御剑后台扫描工具、蚁剑、菜刀、hackbar、nmap、sqlmap、vps......以及各种各样的脚本:githack、hashpump、c-jwt-cracker、flask-session-cookie-manager、php-mt-seed-4.0、ds_store_exp_master、Gopherus-master......
在学习个过程中,学长向我们介绍了学习web的基础,以及在ctf方面上的应用,例如:1. php弱类型,php伪协议,php反序列化,php反序列化进阶-php反序列化字符逃逸,php回调后门,源码泄露,条件竞争,sql注入漏洞,XSS攻击,php以及python伪随机数等等一系列的应用。
同时学长也向我们提供了更进一步的进阶学习方向:javascript框架,java反序列化,redis主从复制写shell,redis+ssrf,反弹shell,沙箱逃逸,各种框架漏洞**(比如spring、struts、thinkphp、twig、laravel、smarty)。
我们跟着学长学习相关知识,并且在ctf的网站上进行相关题目的练习。活学活用,把学到的东西进行应用,在练习中丰富自己的学习,巩固自己的学习内容,更好地提高自己。