摘要:
实习工作原因,需要测试excel表里面ip地址是否存在漏洞,扫了一眼,呕,四五百个IP,光是挨个进行访问,都是一个浩大的工程,所以准备开始摸鱼认真工作 思路是:excel按列提取->将IP按行存储在txt文件中->对TXT中的IP进行批量扫描操作 excel按列提取 参考自:https://www. 阅读全文
摘要:
30题利用提交数组绕过逻辑 本篇博客是PHP代码审计分段讲解系列题解的最后一篇,对于我这个懒癌患者来说,很多事情知易行难,坚持下去,继续学习和提高自己。 源码如下: <?php $role = "guest"; $flag = "flag{test_flag}"; $auth = false; if 阅读全文
摘要:
代码审计分段讲解之29题,代码如下: <?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $table = Filter($table); mysqli_query($mysqli,"desc `se 阅读全文
摘要:
28题 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style type="text/css"> body { background:gray; text-align:center; } </style> </head> <body> 阅读全文
摘要:
如图,安装之后无Scan选项,流程按照吾爱破解上的文章:https://www.52pojie.cn/thread-1140341-1-1.html 解决办法为: 首先nessus.license在安装目录,目录结构如图: 以管理员权限开启cmd跳转至安装目录 使用命令: nessuscli.exe 阅读全文
摘要:
一直没有挖到过短信轰炸漏洞,这次终于遇到了: 获取验证码,抓包 虽然这里存在有滑块验证,但是后端并没有对滑块进行验证,故形同虚设。 多次重放发现还是存在频次限制的,响应包显示发送频繁 使用XFF 进行IP伪造,无果 猜测是通过会话来判断是否多次发送的,对session进行修改与删除,无果 对电话号码 阅读全文
摘要:
暑期在编程方面,每天花一部分时间在Go语言的学习上,学完基础之后就学习GO的WEB编程,争取精通GO语言,然后再学一下Flask的蓝图,修改原先的项目结构,另外,还需要看一下编程珠玑等提升代码质量的书籍。书山有路勤为径,学海无涯苦作舟。 GO语言基础学习视频为无闻出品的:https://learnk 阅读全文
摘要:
最近因为实习的原因,为了减少一部分的工作量,在阿里云服务器上搭建了AWVS扫描器 方便摸鱼 但是发现AWVS貌似没有批量添加的方法,作者只好把整理的URL.txt捏了又捏 手动输入是不可能手动输入的,去查了查网上关于AWVS扫描器API的使用,找到两篇文章: https://blog.csdn.ne 阅读全文
摘要:
后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id=1'); exit(); } $id=$_GET['id']; $a=$_GET['a']; $b=$_G 阅读全文
摘要:
26 unserialize()序列化 <!-- 题目:http://web.jarvisoj.com:32768 --> <!-- index.php --> <?php require_once('shield.php'); $x = new Shield(); isset($_GET['cla 阅读全文