随笔档案「2018年4月」 - 弟弟救我啊

文件包含漏洞

摘要：讲一句话木马的文件嵌入到另一个文件中，这个文件可以是图片，可以是文本文件包含函数（php） include require include_once require_once 漏洞整体的分类本地文件包含远程文件包含漏洞常见敏感文件 unix/linux /etc/passwd /usr/l 阅读全文

posted @ 2018-04-24 19:26 弟弟救我啊阅读(196) 评论(0) 推荐(0)

文件上传-1

摘要：文件上传是什么？网络攻击者上传了一个可执行的文件到服务器并执行，这里上传的文件可以说木马，病毒，恶意脚本或者webshell等，这种攻击方式最为直接和有效的主要出现在哪？网站上上传图片，上传文件等的位置。文件上传的方式 1.js验证绕过 2.数据包中type绕过上传 3.文件扩展名绕过上传阅读全文

posted @ 2018-04-23 18:35 弟弟救我啊阅读(154) 评论(0) 推荐(0)

SQL注入-3

摘要：在登录成功的情况下将特殊字符依次输入到下面的每一行后面测试存在注入的位置 POST /sqli-labs-master/Less-18/index.php HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64 阅读全文

posted @ 2018-04-21 19:59 弟弟救我啊阅读(111) 评论(0) 推荐(0)

SQL注入-2

摘要：SQL注入的一般步骤 1.报错：需要用单引号双引号或者左小括号判断字符串被什么包裹 2.正常:闭合语句，让语句不出现语法错误 3.判断列数： order by 关键字 4.查询想要的内容联合查询 union 基于报错的注入方式布尔型盲注条件：页面存在异常情况，但没有回显且没有报错信息阅读全文

posted @ 2018-04-20 17:39 弟弟救我啊阅读(147) 评论(0) 推荐(0)

SQL注入-工具篇

摘要：BurpSuit Targert 放置网站的信息 site map 网站地图 Proxy 代理 Intercept 拦截抓到的包都放在这里 http hsitory http请求记录 options 抓包相关配置 spider 爬虫 intruder 暴力破解 repeater 重放包 decod 阅读全文

posted @ 2018-04-20 17:38 弟弟救我啊阅读(1357) 评论(0) 推荐(0)

SQL注入-1

摘要：select * from table_name where id=1 select version() 显示数据库的版本信息 select * from table_name where id=1 order by 1; 猜表的列数 order by 后面从1开始依次猜解 union前后语句的列数阅读全文

posted @ 2018-04-18 18:47 弟弟救我啊阅读(879) 评论(0) 推荐(0)

我与Python的相爱相杀-类与对象

摘要：#创建类：类的命名规则是首字母大写，驼峰式 #调用函数 #对象的封装对象的继承阅读全文

posted @ 2018-04-13 21:23 弟弟救我啊

弟弟救我

04 2018 档案

公告