04 2023 档案
摘要:SSTI模板注入 模板引擎 在SSTI模板注入漏洞中,攻击者可以利用应用程序中的模板引擎来注入恶意代码并执行任意代码。因此,了解模板引擎是理解SSTI漏洞的关键。 模板引擎是一种将数据和模板结合生成输出的工具。它们通常用于动态生成网页、电子邮件和其他文本文件。模板引擎允许开发人员将数据和HTML、C
阅读全文
摘要:博客美化 美化后例图 具体效果参照ikn0w1T的博客 实现功能 顶部背景点动效随鼠标而动 页面诗意句模板 导航栏自定义 音乐-网易云 一键回到顶部 底部跳动的鱼 鼠标点击动效 页面不同的导航背景及人物背景 侧面栏显示 侧面栏公告栏及个人信息显示(QQ、微信等联系方式) 阅读目录(标题h1 > h2
阅读全文
摘要:ctfshow 萌新web10-21 web10 题目提示flag在congfig.php中 php中作为执行系统命令的函数: system() passthru() exec() shell_exec() popen() proc_open() pcntl_exec() 源码中过滤了 system
阅读全文
摘要:欢迎来到我的友链小屋 展示本站所有友情站点,排列不分先后,均匀打乱算法随机渲染的喔! 友链信息 博客名称:ikn0w1T博客网址:https://www.cnblogs.com/ikn0w1T/博客头像:https://images.cnblogs.com/cnblogs_com/blogs/775
阅读全文
摘要:任意文件读取漏洞 漏洞概念及成因 任意文件读取漏洞(Arbitrary File Read Vulnerability)是指攻击者可以通过web应用程序读取任意文件而不受访问控制限制的漏洞。这种漏洞可能导致敏感信息泄露、系统崩溃等问题。 攻击者可以利用任意文件读取漏洞访问服务器上的任意文件,包括密码
阅读全文
摘要:JSON Web Token(JWT) 什么是JWT JSON Web Token(JWT)是一种用于身份验证和授权的开放标准(RFC 7519),它定义了一种紧凑、自包含的方式,用于在网络上传输信息。JWT 由三部分组成,分别是头部(Header)、载荷(Payload)和签名(Signature
阅读全文
摘要:md5和sha1的绕过方式 0e绕过弱比较 <?php if ($_GET['name'] != $_GET['password'] && MD5($_GET['name']) == MD5($_GET['password'])){ echo "flag"; } 💡 以下值在md5加密后以0E开头
阅读全文
