2022 年 4月随笔档案 - TinKode

CMS识别

发表于 2022-04-20 14:42阅读：400评论：0推荐：0

摘要：cms就是内容管理系统，也可以理解成为网站建设系统。 cms系统可分为两种形式，一种是收费的，一种是免费的。收费：这种收费的cms系统主要是由网站建设公司自行开发的系统。免费：开源cms系统是完全免费的将程序开放给用户使用，用户可以对程序功能进行二次开发。 https://www.yunsee. 阅读全文 »

posted @ 2022-04-20 14:42 TinKode 阅读(400) 评论(0) 推荐(0) 编辑

信息搜集

发表于 2022-04-18 14:39阅读：93评论：0推荐：0

摘要：百度权重 https://baidurank.aizhan.com/ whois（读作“Who is”，非缩写）是用来查询域名的IP以及所有者等信息的传输协议。 http://whois.chinaz.com/ 天眼查 https://www.tianyancha.com/ Google的常用语法及阅读全文 »

posted @ 2022-04-18 14:39 TinKode 阅读(93) 评论(0) 推荐(0) 编辑

文件包含漏洞1

发表于 2022-04-18 11:57阅读：25评论：0推荐：0

摘要：1、ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架。攻击者可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。一、ThinkCMF简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理系统框架,底层采用ThinkPHP3.2.3构建阅读全文 »

posted @ 2022-04-18 11:57 TinKode 阅读(25) 评论(0) 推荐(0) 编辑

CTFHUB---SSRF

发表于 2022-04-15 17:30阅读：255评论：0推荐：0

摘要：SSRF是什么？SSRF(Server-Side Request Forgery:服务请求伪造)是一种由攻击者构造，从而让服务端发起请求的一种安全漏洞，它将一个可以发起网络请求的服务当作跳板来攻击其他服务，SSRF的攻击目标一般是内网。 1.内网访问构造url http://challenge-4 阅读全文 »

posted @ 2022-04-15 17:30 TinKode 阅读(255) 评论(0) 推荐(0) 编辑

CTFHUB---RCE

发表于 2022-04-13 16:08阅读：142评论：0推荐：0

摘要：远程代码/命令执行漏洞 1.eval执行 <?phpif (isset($_REQUEST['cmd'])) { eval($_REQUEST["cmd"]);} else { highlight_file(__FILE__);}?> request接受post和get请求，接受cmd参数使用远程阅读全文 »

posted @ 2022-04-13 16:08 TinKode 阅读(142) 评论(0) 推荐(0) 编辑

CTF---密码口令

发表于 2022-04-11 13:26阅读：137评论：0推荐：0

摘要：1.弱口令 burp抓包 2.默认口令亿邮邮件网关 USER POSSWORD eyouuser eyou_admin eyougw admin@(eyou) admin +-ccccc admin cyouadmin 阅读全文 »

posted @ 2022-04-11 13:26 TinKode 阅读(137) 评论(0) 推荐(0) 编辑

CTF----信息泄露

发表于 2022-04-11 10:23阅读：107评论：0推荐：0

摘要：1.目录遍历 python 目录遍历.py http://challenge-d404b87871299834.sandbox.ctfhub.com:10800/flag_in_here/4/1 import requestsurl="http://challenge-d404b8787129983 阅读全文 »

posted @ 2022-04-11 10:23 TinKode 阅读(107) 评论(0) 推荐(0) 编辑

CTF--文件上传

发表于 2022-04-08 17:02阅读：510评论：0推荐：0

摘要：1.无验证 upload/1.php 2.前端验证火狐浏览器—about:config —关掉JavaScript 3..htaccess htaccess是超文本访问（Hypertext Access）的缩写，是一个基于Apache的Web服务器使用的配置文件，用于控制它所在的目录以及该目录下的阅读全文 »

posted @ 2022-04-08 17:02 TinKode 阅读(510) 评论(0) 推荐(0) 编辑

XSS漏洞学习

发表于 2022-04-08 16:21阅读：13评论：0推荐：0

摘要：wuuwuw 阅读全文 »

posted @ 2022-04-08 16:21 TinKode 阅读(13) 评论(0) 推荐(0) 编辑

SQL注入漏洞学习

发表于 2022-04-08 12:09阅读：150评论：0推荐：0

摘要：http://vulfocus.io/#/dashboard union all select DATABASE() select DATABASE() converting \"SKYWALKING-OAP-DB\" message":"Exception while fetching data 阅读全文 »

posted @ 2022-04-08 12:09 TinKode 阅读(150) 评论(0) 推荐(0) 编辑

XSS面试题

发表于 2022-04-08 11:16阅读：133评论：0推荐：0

摘要：## 4-XSS原理 ```shell1-XSS漏洞是跨站脚本攻击2-是HTML代码的注入3-他是通过对网页，注入浏览器可执行的代码，从而实现的攻击手段。``` ## 5-XSS分类 ```shell1-反射型2-存储型3-DOM型``` ## 6-XSS区别 ```shell# 反射型和存储型阅读全文 »

posted @ 2022-04-08 11:16 TinKode 阅读(133) 评论(0) 推荐(0) 编辑

SQL面试题

发表于 2022-04-08 10:23阅读：70评论：0推荐：0

摘要：一、WEB： ## 1-SQL注入原理 ```shell # WEB应用程序对用户输入的数据 # 没有过滤或者过滤的不严谨 # 并且把用户输入的数据当作SQL 语句 # 带入到数据中去执行``` ## 2-SQL注入分类 ```shell# 从反馈结果来分 1-回显型 2-无回显型/盲注# 从攻击手阅读全文 »

posted @ 2022-04-08 10:23 TinKode 阅读(70) 评论(0) 推荐(0) 编辑

CTFHub--XSS

发表于 2022-04-06 22:02阅读：86评论：0推荐：0

摘要：反射型 <script>alert("xss")</script> 尝试弹出自己的cookie发现是空的 <script>alert(document.cookie)</script> https://xss8.cc/bdstatic.com/?callback=project&act=view&i 阅读全文 »

posted @ 2022-04-06 22:02 TinKode 阅读(86) 评论(0) 推荐(0) 编辑

CTFHUB---SQL注入

发表于 2022-04-06 21:34阅读：316评论：0推荐：0

摘要：SQL--布尔注入 1 and length(database())=4 我们利用count函数来判断sqli数据库里有几个表 1 and (select count(table_name) from information_schema.tables where table_schema='sql 阅读全文 »

posted @ 2022-04-06 21:34 TinKode 阅读(316) 评论(0) 推荐(0) 编辑

XSS跨站脚本攻击学习

发表于 2022-04-06 10:15阅读：35评论：0推荐：0

摘要：一.概述攻击者通过网站注入点注入客户端可执行解析的payload(脚本代码)，当用户访问网站时，恶意payload自动加载并执行(盗取cookie、恶意传播、钓鱼欺骗等)，以达到为了避免与HTML语言中CSS相混淆，通常称它为”XSS“ 危害：获取用户信息、钓鱼、注入木马或者广告链接、后台增删改查阅读全文 »

posted @ 2022-04-06 10:15 TinKode 阅读(35) 评论(0) 推荐(0) 编辑

Tinkode

04 2022 档案

公告

TinKode

斜月沉沉藏海雾，碣石潇湘无限路。

《春江花月夜》 - 唐代 - 张若虚

搜索

常用链接

随笔分类

随笔档案

阅读排行榜

推荐排行榜