摘要:
mysql语句 阅读全文
摘要:
0x00 基础知识 讲的超详细:https://www.cnblogs.com/youyoui/p/8610068.html 重点摘抄: 1、序列化对象时,不会保存常量的值。对于父类中的变量,则会保留。 2、当调用serialize()函数序列化对象时,该函数会检查类中是否存在一个魔术方法__sle 阅读全文
摘要:
0x00 点开http://20c4cbc67f924814a8c4311e37570acccb84c0de7f514885.changame.ichunqiu.com/index.php?jpg=hei.jpg链接是一张图片,右键查看图片信息和查看网页源码都看到了base64编码后的字符串,将he 阅读全文
摘要:
xss,前几天做实验做过了,还是再弄一遍巩固一下,明天开始刷题,真开心 0x00 简介 它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式 阅读全文
摘要:
通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 0x00 简介 讲的相当清晰 https://blog.csdn.net/q 阅读全文
摘要:
因为之前为了my,去教了ctf进阶(不是因为我学的多,只是因为我是大三的),总结了一份PPT,对sql手工注入的过程以及sql各种高级注入都了解了一些,个人感觉还是挺熟的 写的较为简略,给自己参考的 0x00、简介 sql注入,简单的来说就是对用户输入的数据没有进行查询,导致用户输入恶意语句,构造一 阅读全文
摘要:
0x00 产生的原因 通过引入文件时,用户可控,没有严格的检验,或是被绕过,操作一些敏感文件,导致文件泄露和恶意代码注入 当包含文件在服务器本地上,就形成本地文件包含,当包含的文件在第三方服务器是,就形成可远程文件包含。 0x01 关于文件上传资料查询 1、php伪协议 读取文件 可将一些恶意代码写 阅读全文
摘要:
csrf,跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转 阅读全文
摘要:
command execution 大致浏览了一些博客,命令注入的关键是绕过过滤与对linux的命令的熟悉,只有熟悉才有可能对其进行注入 1、low <?php if( isset( $_POST[ 'submit' ] ) ) { $target = $_REQUEST[ 'ip' ]; // D 阅读全文
摘要:
brute force指暴力破解,列举出所有可能,并一一进行尝试 爆破用户名和密码,利用了burpsuit的抓包和爆破 burpsuite里intruder的四种攻击模式:https://howiezhao.github.io/2018/05/01/burpsuite-intruder-attack 阅读全文