摘要:
SSTI模版注入 模板引擎 模板引擎是为了使用户界面与业务数据分离而产生的,他可以生成特定格式的文档,利用模版引擎来生成前端的html代码,模版引擎会提供一套生成html代码的程序,然后只需要获取用户的数据,然后放到渲染函数里,然后生产模版+用户数据的前端html页面,然后反馈给浏览器,呈现在用 阅读全文
摘要:
打开题目,源码如下: 可以看到提示,只需解出miwen即可。 首先分析一下题目中的一些函数: strrev():反转字符串 <?php echo strrve("abcd"); ?> 输出为:dcba strlen(string): 返回字符串的长度 substr(string, start, le 阅读全文
摘要:
前言 爆破模式千千万。 步骤 随便填一下用户名和密码,用burp抓包,可以看到数据格式如下 发送到爆破模块,添加爆破位置 点击payload,payload type选择Custom iterator 第一个添加账号 第二个添加“:” 第三个添加密码 添加Payload Processing,选择B 阅读全文
摘要:
是什么? Google Hacking 是利用 Google 的高级搜索语法来查找特定类型的信息或暴露安全漏洞的技术。 攻击者可以使用 Google Hacking 技术来寻找敏感信息、未安全配置的服务器、漏洞等。 常用的Google Hacking语法 site:使用site关键字可以搜索特定网站 阅读全文