上一页 1 2 3 4 5 6 7 ··· 11 下一页
摘要: 复现过程: 绕过随机码-->堆叠注入-->计划任务-->命令执行 环境版本: Linux版phpstudy=x.1.29 1-随机码绕过 已知某站点使用phpstudy服务器搭建,使用默认端口访问phpstudy后台运维系统页面,返回404 Not Found: 加上user/login也依然如故: 阅读全文
posted @ 2023-06-05 18:49 dustfree 阅读(767) 评论(0) 推荐(2) 编辑
摘要: 以下是根据网络课程进行python练习的记录,以加深代码实操能力。 实操案例一 demo1:文件操作的三种方式 考察什么?考察文件操作的不同方式。 #使用open()进行文件写入 f = open('C:/Users/cinaanic/Desktop/pyproject/demo1.txt','w' 阅读全文
posted @ 2023-05-27 16:47 dustfree 阅读(14) 评论(0) 推荐(0) 编辑
摘要: 参考资料: https://www.ibm.com/cn-zh/topics/blockchain-security https://paper.seebug.org/973/ 阅读全文
posted @ 2023-05-27 14:25 dustfree 阅读(12) 评论(0) 推荐(0) 编辑
摘要: 基本知识 php中函数与语言结构的区别读取文件函数:readfile('') highlight_file('')输出函数:echo print_r 输入函数: bypass绕过 空格:$IFS$9 $(IFS)关键字flag:fl\ag 拼接ab 反引号`ls`无回显:base64编码绕过:ech 阅读全文
posted @ 2023-05-25 16:47 dustfree 阅读(46) 评论(0) 推荐(0) 编辑
摘要: 原理 未对用户提交的数据(嵌入的恶意js代码)进行过滤处理,使用户被动访问黑客服务器并传输cookie。造成盗取账户、页面挂马、非法转账等危害。特性:不是对服务器的攻击,是对客户端浏览器的攻击,即前端攻击。浏览即中招,又叫做页面挂马。 分类 反射型XSS:常见于搜索框处,将恶意脚本执行后形成的链接制 阅读全文
posted @ 2023-05-25 16:13 dustfree 阅读(127) 评论(0) 推荐(0) 编辑
摘要: 一、基本概念 什么是序列化 序列化:将对象转化为字符串的过程,便于存储或传输。 类似vm做快照。 什么是反序列化 反序列化:将字符串转化为对象的过程,便于调用。 类似vm恢复快照。 编程基础: class 属性、方法 例:car object 属性、方法 例:BMW redis常用来缓存序列化之后的 阅读全文
posted @ 2023-05-25 16:08 dustfree 阅读(52) 评论(0) 推荐(0) 编辑
摘要: 基本知识 原理:用户能控制输入的内容;Web应用把用户输入的内容带入到数据库中执行。 分类:依据注入点参数类型分类:数字型注入、字符型注入、搜索型注入 依据获取信息的方式分类:union注入、布尔盲注、时间盲注、报错注入、堆叠查询注入 依据请求方式分类:GET注入、POST注入、Cookie注入、H 阅读全文
posted @ 2023-05-25 16:02 dustfree 阅读(169) 评论(0) 推荐(0) 编辑
摘要: 文件上传 原理:对上传的文件未进行过滤,或者过滤不严,导致恶意文件被成功上传到网站。 防御:代码加强、WAF拦截、webshell查杀、正则搜索网站目录是否存在eval等敏感字段。 前端JS绕过 更改前端限制 burp抓包 MIME绕过 content-type篡改 文件上传练习靶场 uploadl 阅读全文
posted @ 2023-05-25 15:58 dustfree 阅读(64) 评论(0) 推荐(0) 编辑
摘要: 一句话验证 <?php phpinfo();?> 一句话木马 <?php @eval($_POST[cmd]);?> webshell管理工具 webshell木马类型:一句话、小马、大马、图片马、打包马、脱裤马 webshell脚本类型:asp、aspx、jsp、php asp:<%eval re 阅读全文
posted @ 2023-05-25 15:45 dustfree 阅读(98) 评论(0) 推荐(0) 编辑
摘要: 简易web应用服务 PHP php -S 127.0.0.1:8000 python2 systemctl stop firewalld systemctl status firewalld python -m SimpleHTTPServer 9999 netstat -antl 访问http:/ 阅读全文
posted @ 2023-05-17 20:38 dustfree 阅读(15) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 7 ··· 11 下一页