05 2023 档案
摘要:以下是根据网络课程进行python练习的记录,以加深代码实操能力。 实操案例一 demo1:文件操作的三种方式 考察什么?考察文件操作的不同方式。 #使用open()进行文件写入 f = open('C:/Users/cinaanic/Desktop/pyproject/demo1.txt','w'
阅读全文
摘要:参考资料: https://www.ibm.com/cn-zh/topics/blockchain-security https://paper.seebug.org/973/
阅读全文
摘要:基本知识 php中函数与语言结构的区别读取文件函数:readfile('') highlight_file('')输出函数:echo print_r 输入函数: bypass绕过 空格:$IFS$9 $(IFS)关键字flag:fl\ag 拼接ab 反引号`ls`无回显:base64编码绕过:ech
阅读全文
摘要:原理 未对用户提交的数据(嵌入的恶意js代码)进行过滤处理,使用户被动访问黑客服务器并传输cookie。造成盗取账户、页面挂马、非法转账等危害。特性:不是对服务器的攻击,是对客户端浏览器的攻击,即前端攻击。浏览即中招,又叫做页面挂马。 分类 反射型XSS:常见于搜索框处,将恶意脚本执行后形成的链接制
阅读全文
摘要:一、基本概念 什么是序列化 序列化:将对象转化为字符串的过程,便于存储或传输。 类似vm做快照。 什么是反序列化 反序列化:将字符串转化为对象的过程,便于调用。 类似vm恢复快照。 编程基础: class 属性、方法 例:car object 属性、方法 例:BMW redis常用来缓存序列化之后的
阅读全文
摘要:基本知识 原理:用户能控制输入的内容;Web应用把用户输入的内容带入到数据库中执行。 分类:依据注入点参数类型分类:数字型注入、字符型注入、搜索型注入 依据获取信息的方式分类:union注入、布尔盲注、时间盲注、报错注入、堆叠查询注入 依据请求方式分类:GET注入、POST注入、Cookie注入、H
阅读全文
摘要:文件上传 原理:对上传的文件未进行过滤,或者过滤不严,导致恶意文件被成功上传到网站。 防御:代码加强、WAF拦截、webshell查杀、正则搜索网站目录是否存在eval等敏感字段。 前端JS绕过 更改前端限制 burp抓包 MIME绕过 content-type篡改 文件上传练习靶场 uploadl
阅读全文
摘要:一句话验证 <?php phpinfo();?> 一句话木马 <?php @eval($_POST[cmd]);?> webshell管理工具 webshell木马类型:一句话、小马、大马、图片马、打包马、脱裤马 webshell脚本类型:asp、aspx、jsp、php asp:<%eval re
阅读全文
摘要:简易web应用服务 PHP php -S 127.0.0.1:8000 python2 systemctl stop firewalld systemctl status firewalld python -m SimpleHTTPServer 9999 netstat -antl 访问http:/
阅读全文
摘要:Python默认解释器编码:utf-8 计算机中的单位:位/字节/K/M/G/T/P 修改hosts文件 C:\Windows\System32\drivers\etc\hosts RCE:即远程命令执行。命令执行又称命令注入、代码执行等。核心原理是拥有变量的控制权。PHP命令执行函数:system
阅读全文
摘要:文本格式是用于表示文本内容的一种规范或标准。常见的文本格式包括: 纯文本格式(.txt):仅包含文本内容,没有格式和样式,通常用于存储简单文本数据,如日志文件和配置文件等。 RTF格式(.rtf):是一种文本格式,可以包含文本格式、字体、大小、颜色、图像等,常用于文字处理软件中。 INI(Initi
阅读全文
摘要:Misc涵盖的主题非常广泛,也更为复杂,所有与计算机安全挑战有关的都算在其中。 隐写 分类:图片、音频、视频 常见文件头: 工具: 010Editor binwalk:https://www.freebuf.com/column/196815.html foremost 图片隐写:https://b
阅读全文
摘要:PWN是指exploit类题目,通常需要参赛者利用漏洞或程序的设计缺陷,通过攻击程序本身,来控制程序执行流程,从而获取系统权限或者执行指定的操作。这类题目通常需要参赛者具备计算机系统底层知识、二进制代码分析和理解漏洞利用技术等方面的技能。
阅读全文
摘要:由于运行不同的软件需要不同的java版本,因此需要不时切换java环境。 以下基于win11实现java8和java11环境自由切换。 第一步:安装jdk8和jdk11 傻瓜式安装,点击下一步即可。需要记住安装路径。安装完成后如图所示: 第二步:将jdk8和jdk11安装路径添加至系统变量 新建两个
阅读全文
摘要:Spingboot: Apache Shiro Apache Shiro是一个功能强大且易于使用的Java安全框架,为开发人员提供了一个直观而全面的解决方案,用于身份验证、授权、加密和会话管理。 Maven Java开发中用到的依赖包管理工具。类似于python的pip、virtualenv、Ana
阅读全文
