昨天中午睡了一觉，一个朋友邀请我来玩一个闯关游戏，发过来一看是一个xss闯关小游戏，虽然早有耳闻，但是说实话一次也没玩过；正好下午没什么事情，就玩玩这个游戏，就当打发时间了..(纯玩玩，毕竟不能耽误我刷抖音😊) 第一关 毕竟第一关，估计最简单，总不能在第一关的boss都打不出血吧，直接看源码 果然所有符号都没过滤，也没有转义，那不直接上payload 1<script>alert

继上一篇，在（一）中，总结了常用的docker环境的判断和信息收集，以及常用的三种逃逸方式：Priviliged 特权模式逃逸、挂载宿主机 procfs 逃逸、挂载 Docker Socket 逃逸，本文将总结一些通过docker自身漏洞以及安全配置不当造成的逃逸或者其他渗透利用方式 CVE-2019-16884攻击者可以在容器镜像中可以声明一个VOLUME并挂载至/proc，之后欺骗r

Docker介绍Docker是一种轻量级的虚拟化技术，同时是一个开源的应用容器运行环境搭建平台，可以让开发者以便捷方式打包应用到一个可移植的容器中，然后安装至任何运行Linux或Windows等系统的服务器上。相较于传统虚拟机，Docker容器提供轻量化的虚拟化方式、安装便捷、启停速度快 Docker容器具有以下三大特点：轻量化：一台主机上运行的多个Docker容器可以共享主机操作系统内核；启动迅

Behinder介绍“冰蝎”(Behinder)是一个动态二进制加密网站管理客户端，相比较于传统的老牌工具“菜刀”而言，对webshell的流量进行了相应的加密。”冰蝎”客户端基于JAVA，所以可以跨平台使用，随着版本的升级，兼容性也随之提升。主要功能为：基本信息、命令执行、虚拟终端、文件管理、Socks代理、反弹shell、数据库管理、自定义代码等，功能非常强大，是现如今必不可少的渗透测试工具之

CSRF介绍跨站请求伪造（Cross-site request forgery，简称CSRF），一种常见的web安全漏洞，攻击者利用受害者身份发起了HTTP请求，导致受害者在不知情的情况下进行了业务操作；它允许攻击者部分规避同源策略，该策略旨在防止不同网站相互干扰，并且由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行，简单来说就是你点击我构造的恶意链接，我就可以以你的名义去发起