07 2019 档案
摘要:0x00 XML基础 在介绍xxe漏洞前,先学习温顾一下XML的基础知识。XML被设计为传输和存储数据,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。 0x01 XML文档结构 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 由于xxe漏洞与DT
阅读全文
摘要:今天配置一下web环境,很常见的apache+php+mysql的网站环境: 步骤一:安装apache 步骤二:安装php7 1、安装PHP7和响应的扩展 2、安装组件支持 3、配置文件 通过vim的/查找符,找到以下各部分内容,并进行更改: 4、创建相关日志目录 5、重启Apache 步骤三:安装
阅读全文
摘要:一:简介 RTLO”字符全名为“RIGHT TO LEFTOVERRIDE”,是一个不可显示的控制类字符,其本质是unicode 字符。“RTLO”字符可使电脑将任意语言的文字内容按倒序排列,最初是用来支持一些从右往左写的语言的文字,比如阿拉伯语,希伯来语。由于它可以重新排列字符的特性,会被不法分子
阅读全文
摘要:一:正常构造方式: 1、无过滤,直接写: 2、正常截断: 3、不用尖括号: 4、内联框架注入: 5、超链接注入: 6、alert(1)中的小括号:可用反单引号替代:`;也可以用/ 7、当()与反单引号被过滤时,可使用如下: 8、存在注释符的话,可用<! 或<! ! 绕过 9、str_replace(
阅读全文
摘要:文件上传fuzz字典生成脚本—使用方法 原作者:c0ny1 项目地址:https://github.com/c0ny1/upload fuzz dic builder 项目预览效果图: 帮助手册: 脚本可以自定义生成的上传文件名( n),允许的上传的后缀( a),后端语言( l),中间件( m),操
阅读全文
摘要:0、前序 暑假的时间还有很长时间,这段时间用来学习是再好不过了。然后我就把今后的学习目标整理了一下。因为这只是针对我的不足而指定的学习路线,其中有些板块中的部分内容,我是已经有所学过的,所以就没有写入其中。如果想要借鉴的话,请根据自身的能力与不足进行增添或排除。现将大致方向与内容列置于此: 1、SQ
阅读全文
摘要:0x00 前言 Discuz!ML是一个由CodersClub.org创建的多语言,集成,功能齐全的开源网络平台,用于构建像“社交网络”这样的互联网社区。 该引擎基于Comsenz Inc.创建的着名的Discuz!X引擎开发。 0x01 漏洞描述 1.1 简单描述 2019年7月11日, Disc
阅读全文
摘要:前序 写博客的想法已经酝酿很久了,想过用很多种方法去写博客,但是最终都没有敲定要在哪里写。最近,身边的同学都在博客园这里写些心得,我也就加入了进来。以前我的朋友陆陆续续的也写过几篇博客,有几人写了几篇文章,后来由于学业的紧张,就没有再坚持下去。其实我也有想过能不能够一直坚持写下去。反正不管怎么说,什
阅读全文
浙公网安备 33010602011771号