摘要:
(哦对了!这些CMS代码不要安装在服务器上,先不说它们用来代码审计本身就是有漏洞的,而且在网上下载下来,也不能保证没有源码是否被篡改而留有后门,就安装在本地进行代码审计的练习即可) 我们先下载BugFree的源代码 http://47.94.132.67/tools/index.php?share/ 阅读全文
摘要:
爬取的目标网站是: http://www.wxapp-union.com/portal.php?mod=list&catid=2&page=1 目的是爬取每一个教程的标题,作者,时间和详细内容 通过下面的命令可以快速创建 CrawlSpider模板 的代码: scrapy genspider wsa 阅读全文
摘要:
在代码审计一书中提到Kuwebs的配置文件中可以利用PHP可变变量的特性执行代码 在PHP语言中,单引号和双引号都可以表示一个字符串,但是对于双引号来说,可能会对引号内的内容进行二次解释,这就可能会出现安全问题 我们先下载Kuwebs的源代码 http://47.94.132.67/tools/in 阅读全文
摘要:
因为在Scrapy的使用过程中,提取页面信息使用XPath比较方便,遂成此文。 在b站上看了介绍XPath的:https://www.bilibili.com/video/av30320885?from=search&seid=17721548966745663758 认识XPath 1,什么是XP 阅读全文
摘要:
昨天看到教育漏洞群里面发了利用w12scan和taoman两个开源工具批量刷edusrc的帖子链接, https://www.bugku.com/thread-3810-1-1.html 跟着帖子上面写的搭建一遍环境,看了一下帖子的时间是2019年的8月,估计搭建好平台的人不在少数,能扫描出来的漏洞 阅读全文
摘要:
SSTI模板注入类题目 模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程 服务端把用户输入的内容渲染成模板就可能造成SSTI(Server-Side Template Injection) 模板渲染接受的参数需要用两个大括号括起来{{}},所以我们需要在大括号内构造参数形成注入 SST 阅读全文
摘要:
开启环境之后可以看到 加上题目是ping ping ping 所以可以猜测是需要我们命令执行读取flag 加上?ip=127.0.0.1 http://3d59e365-7e67-4e43-b2f5-dec887255281.node3.buuoj.cn/?ip=127.0.0.1 可以看到页面成功 阅读全文
摘要:
首先我们点击虚拟机 点击设置 选择CD 接着我们将设备状态两个勾都勾选,并且ISO映像文件选择我们需要挂载的光盘 点击了确定之后,我们到centos7的命令行下 1,创建挂载目录 mkdir /mnt/cdrom 2,挂载光盘 mount /dev/cdrom /mnt/cdrom 这个提示告诉我们 阅读全文
摘要:
一,概述 1,Linux系统需要备份的数据 /root目录 /home目录 /var/spool/mail 目录 /etc目录 其他目录 如:/var/log 安装服务的数据: 1,apache需要备份的数据 配置文件,网页主目录,日志文件 2,mysql需要备份的数据 源码版安装的mysql:/u 阅读全文
摘要:
一,CentOS6.x 启动管理 1,系统运行级别 1,运行级别 2,运行级别命令 runlevel 查看运行级别命令 init 运行级别 改变运行级别命令 3,系统默认运行级别 vim /etc/inittab 系统开机后直接进入哪个运行级别 2,系统启动过程 initramfs 内存文件系统 C 阅读全文