该文被密码保护。 阅读全文
摘要:
1、剖析虚拟化技术概念 1)虚拟化是一个主流的技术,虚拟的,看不见的,但是可以落地的,用于资源管理的一项技术; 2)虚拟化的技术诞生的目标就是为了解决资源管理和资源利用的解决方案; 3)虚拟化就是将物理设备转变为逻辑上可以管理资源,以打破物理之间结构的壁垒,让计算元件运行在虚拟的基础上,而不是真实的 阅读全文
摘要:
漏洞影响版本:v9.5.8、v9.6.0 Step1: 访问:http://www.xxx.com/index.php?m=wap&a=index&siteid=1, 获取返回的cookie:xxx_siteid=xxx1 Step2: 构造POST数据,利用Step1返回的cookie值,赋值给u 阅读全文
摘要:
面向对象编程 类:在现实世界中,任何事物都有种类的概念:车 类是由特征和行为构成的。 特征:都是不动的,从出厂的时候就已经内置好了(属性) 行为:一种动的状态。(方法(函数)) 行为依赖于这些特征,而特征只有通过这些行为才能施展。 对象调用属性、方法 类常量:const const用于类成员常量的定 阅读全文
摘要:
ERROR:错误 waring:警告,还没到犯错的地步 print(r'\n') r"字符串",字符串里的所有字符都不转义 str = "abcdef" 如果想隔一个取出来,str[0::2] 深浅拷贝 列表的内存存放 Python修改的变量只是修改了指向地址。 如果修改变量: a = 1 b = 阅读全文
摘要:
首先准备一台公网服务器,在上面新建一个一句话的txt文件。如下: 接着打开目标网站,点击注册,填写信息后点击提交,拦截该数据包。 将其中post提交的数据替换成我们的poc,poc如下: 其中的src=后面就是我们准备的一句话txt文件。 发送数据包,成功上传一句话。 这里要注意的是在repeate 阅读全文
摘要:
漏洞触发点在include/memberlogin.class.php中的MemberLogin类中的登录校验函数 可以看到M_ID参数是由GetNum(GetCookie("DedeUserId"))赋值的。 之后通过intval()函数对M_ID进行整数转换便没有再进行任何处理和过滤,然后通过S 阅读全文
摘要:
分享一些Java安全相关文章,其中大部分都涉及到代码的分析与审计。 大家总是在找Java的代码审计的文章,但好像很多人选择性失明。 其实Java没有和PHP一样的简单,所以你觉得你看到的文章不是入门级的所以不认为这个是代码审计,所以会有种Java文章很少的错觉,其实这些都是代码审计。 #JAVA安全 阅读全文
摘要:
打狗棒法: and 查询: union查询: 阅读全文
摘要:
昨晚看到的有复现的文章,一直到今天才去自己复现了一遍,还是例行记录一下。 POC: 一、简单的生成弹计算器的doc文件。 网上看到的改进过的POC,我们直接拿来用,命令如下: 生成的doc文件直接打开就可以弹出计算器。 影响的脚本: 二、生成可以反弹shell的doc文件 这里我们用到MSF, 添加 阅读全文