04 2024 档案
文件上传漏洞之.htaccess文件
摘要:htaccess文件是什么 想要利用好.htaccess文件,我们就需要先了解一下什么是htaccess。根据百度百科介绍: .htaccess文件(或者分布式配置文件),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法, 即,在一个特定的文档目录中放置一个包含一个
[GXYCTF2019]BabyUpload
摘要:flagflag打开网站,先上传一个.php试试。 提示后缀名不能有ph。 这里想到了之前在ctfhub技能树上做过一道题目,可以上传.htaccess文件,来实现把后缀名为其它类型的转换成php执行,所以这里使用这个方法来上传。 不了解.htaccess的可以先看这篇文章,之后会用到。 文件上传漏
[ZJCTF 2019]NiZhuanSiWei
摘要:代码审计: 先看第一段 if(isset(
文件包含漏洞
摘要:什么是文件包含漏洞 文件包含漏洞是一种常见的网络安全漏洞,主要发生在应用程序通过各种编程语言实现的“包含”(include)功能向当前执行的程序中引入外部文件时。这个功能本身是编程语言提供的一种便捷特性,用于代码的重用和组织。例如,在一个PHP脚本中,可以使用include或require语句来包含
Burpsuit安装fakeip插件
摘要:目录 jyphon插件下载链接: fakeip插件下载链接: 导入jpython插件: 导入fakeip插件: fakeip使用方法: 由于fakeip是使用python来写的,而burpsuite是java写的,所以在导入fakeip之前,需要先导入jyphon插件 jyphon插件下载链接: 链
[极客大挑战 2019]Http 1
摘要:必备知识点: ip伪造: burpsuit抓包后直接添加下面的任意一个(据题目而定,有些题目可能会进行禁用)。 X-Forwarded-For:ip X-Forwarded-Host:ip X-Client-IP:ip X-remote-IP:ip X-remote-addr:ip True-Cli
[GXYCTF2019]Ping Ping Ping
摘要:打开网站看到已经给出提示,让使用?/ip=xxx 来注入并且页面返回有ping命令,这里可以看出是ping命令,故开始绕过,需要使用命令联合注入,下面给出大佬总结的命令联合注入的笔记。 ; 前面的执行完执行后面的 | 管道符,上一条命令的输出,作为下一条命令的参数(显示后面的执行结果) || 当前面
mysql安装mysql-community-server时出现Failing package is: mysql-community-client-5.7.38--1.el7.x86_64”
摘要:解决方法:需要禁掉GPG验证检查 yum -y install mysql-community-server --nogpgcheck
为什么选择成为一名程序员
摘要:在数字化浪潮席卷全球的今天,程序员已经成为了推动社会进步的关键力量。成为一名程序员,不仅仅是为了追求一种职业,更是为了掌握未来的语言,参与构建一个更加智能和便捷的世界。 程序员是数字时代的创造者 程序员是数字时代的创造者,他们通过编写代码,将抽象的想法转化为现实世界的应用。根据Stack Overf
BUUCTF通关 - 2
摘要:[HCTF 2018]WarmUp [强网杯 2019]随便注 先对其进行输入,发先只有输入1,2时才显示代码,其他数字不出现东西 之后判断注入点,发现输入1’时会出现报错, 之后使用万能密码尝试 尝试0‘ or ‘1’='1;0" or “1”="1等,发现可行 之后尝试order by,发现当输
BUUCTF通关 - 1
摘要:目录 N种方法解决 二维码 你竟然赶我走 金三 乌镇峰会种图 基础破解 wireshark [GKCTF 2021]签到 文件中的秘密 [BJDCTF2020]Easy MD5 BUU CODE REVIEW 1 BUU UPLOAD COURSE 1 sqli-labs BUU BURP COUR
