摘要: 什么是权限 在Linux 系统中,ls -al 即可查看列出文件所属的权限。这里用kali系统来演示。 …… drwxr-xr-x 2 kali kali 4096 Jan 27 12:52 Downloads -rw-r--r-- 1 root root 903 Jun 14 11:33 exp. 阅读全文
posted @ 2020-10-02 14:15 lktop 阅读(986) 评论(0) 推荐(0) 编辑
摘要: upload-labs分类 如何判断上传漏洞类型: 结合Upload_Attack_Framework来完成对上传漏洞的总结 客户端 js检查及绕过 这类检测通常在上传页面里含有专门检测文件上传的 javascript 代码 最常见的就是检测扩展名是否合法 绕过方法: 禁用相关检测js 绕过后使用b 阅读全文
posted @ 2020-09-30 13:36 lktop 阅读(332) 评论(0) 推荐(0) 编辑
摘要: 代码执行 eval (PHP 4, PHP 5, PHP 7) eval( string $code) : mixed 把字符串 code 作为PHP代码执行。 eval($_POST['c']); 直接蚁剑链接密码为c assert (PHP 4, PHP 5, PHP 7) assert( mi 阅读全文
posted @ 2020-09-28 17:06 lktop 阅读(3646) 评论(0) 推荐(2) 编辑
摘要: 简介 NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了防止被利用导出 阅读全文
posted @ 2020-09-26 12:14 lktop 阅读(2926) 评论(0) 推荐(0) 编辑
摘要: 简介 Rsync是Linux下一款数据备份工具,支持通过rsync协议、ssh协议进行远程文件传输。常被用于在内网进行源代码的分发及同步更新,因此使用人群多为开发人员。其中rsync协议默认监听873端口,而一般开发人员安全意识薄弱的情况下,如果目标开启了rsync服务,并且没有配置ACL或访问密码 阅读全文
posted @ 2020-09-26 10:46 lktop 阅读(469) 评论(0) 推荐(0) 编辑
摘要: 简介 redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove 阅读全文
posted @ 2020-09-25 14:46 lktop 阅读(862) 评论(0) 推荐(0) 编辑