2022年8月20日
pikachu file include——文件包含靶场练习
摘要: 文件包含本质就是代码注入,原理:注入一段用户能够控制的脚本或代码,让服务器端执行。 1.本地文件包含漏洞——能够打开并包含本地文件的漏洞 测试pikachu文件包含靶场: ①随机选择,出现文件包含 http://127.0.0.1/pikachu-master/vul/fileinclude/fi_ 阅读全文
posted @ 2022-08-20 10:41 mdgdscy 阅读(241) 评论(0) 推荐(0) 编辑
【小迪安全】04:基础入门-web源码扩展
摘要: (XYCMS搬家公司建站系统) 查找数据库文件路径: 发现后缀名为mdb文件——为asp网站特有的 打开mdb文件找到 admin_user数据库可以找到用户名和密码 阅读全文
posted @ 2022-08-20 09:07 mdgdscy 阅读(30) 评论(0) 推荐(0) 编辑
mark:支付漏洞挖掘技巧
摘要: 支付漏洞挖洞技巧 Tags: 修改支付价格、修改支付接口、修改支付状态、修改购买数量、修改附属值、多线程并发问题、支付漏洞、支付问题挖掘技巧、最小额支付、重复支付 转载:https://www.secpulse.com/archives/67080.html 阅读全文
posted @ 2022-08-20 09:05 mdgdscy 阅读(26) 评论(0) 推荐(0) 编辑
2022年8月11日
XSS、CSRF(cross-site-request-forgery)跨站请求伪造、SSRF介绍
摘要: XSS(cross-site-script)跨站脚本 1产生原理: 变量接收数据时,数据为JS脚本 2前提条件: 浏览器版本/内核要求(即JS脚本能否成功执行) 3跨站漏洞可分为: ①反射(非持续)——攻击数据不会存储在服务器 将js脚本引入html中诱导别人点击来实现js脚本的注入。 响应流程是: 阅读全文
posted @ 2022-08-11 16:01 mdgdscy 阅读(103) 评论(0) 推荐(0) 编辑
2022年8月9日
upload-labs靶场练习,无法用burpsuite抓包问题
摘要: 本地配置好upload-labs之后,利用burpsuite无法抓包问题 原因: ①本地代理设置成了默认不抓包127.0.0.1 ②无法抓本地回环数据包 尝试将127.0.0.1改为自己的ip地址即可解决。 阅读全文
posted @ 2022-08-09 17:36 mdgdscy 阅读(391) 评论(0) 推荐(0) 编辑
2022年8月7日
[转载]蚁剑使用指南(连接、虚拟终端、目录管理、插件等)
摘要: 转载于:https://www.jianshu.com/p/a89ad062c017 最近经常使用蚁剑,但很多功能原理不够清晰,特转载以留作记录。 阅读全文
posted @ 2022-08-07 14:37 mdgdscy 阅读(1685) 评论(0) 推荐(0) 编辑
蚁剑连接一句话后门webshell出错记录
摘要: 常见错误 1.错误{} 一般是密码填写错误 之前的后门代码为 <?php @eval($_POST['shell']);?> 连接时一直报错{},即密码错误,才发觉是一句话木马中value值出错,正确应为 <?php @eval($_POST["shell"]);?> 2.Unable to res 阅读全文
posted @ 2022-08-07 11:45 mdgdscy 阅读(4320) 评论(0) 推荐(0) 编辑
记录mysql文件读取时secure_file_priv =问题
摘要: 转载:https://www.cnblogs.com/c1e4r/articles/8618692.html 前提 进行mysql文件读取时需满足两个条件 1.在拥有file权限的前提下 2.secure_file_priv不为NULL 情景 进行mysql文件读取时,报错 主要原因:未开启权限且未 阅读全文
posted @ 2022-08-07 11:06 mdgdscy 阅读(1038) 评论(0) 推荐(0) 编辑
[转载]关于java中异或运算符讲解,另有实例
摘要: 看到一篇关于java中异或运算的文章,受益匪浅,特此转载记录一下:http://t.csdn.cn/vD8eY 异或也常用于加密、校验、密钥传输等领域,密码学中常见。 异或是一种基于二进制的位运算,用符号XOR或者^表示,其运算法则是对运算符两侧数的每一个二进制位同值则取0,异值则取1.简单理解就是 阅读全文
posted @ 2022-08-07 00:48 mdgdscy 阅读(283) 评论(0) 推荐(0) 编辑
2022年8月5日
MySQL 5.7.30 的安装/升级(所有可能的坑都在这里) 楔子卸载老版本安装5.7.30版本MySQL老数据升级到5.7
摘要: 转载自:https://cloud.tencent.com/developer/article/1637899#1.1 以及遇到的一些问题解决方案可参见:https://www.cnblogs.com/tujia/p/10734879.html 自己使用的是phpstudy的5.5.53版本的MyS 阅读全文
posted @ 2022-08-05 20:34 mdgdscy 阅读(160) 评论(0) 推荐(0) 编辑
下一页