摘要:
1.0 什么是sql注入 sql注入第一次是在1998年著名黑客杂志phack第54期上提出的 sql注入是服务器端未严格校验客户端发送的数据,导致服务器端sql语句被恶意修改并成功执行 的行为 1.1 sql的分类 sql注入按请求方法分为get型和post型。 按照sq;数据类型分类可分为整型注 阅读全文
摘要:
前言:由于比赛要考,所以来学文件上传漏洞了 1.0 什么是文件上传漏洞 文件上传漏洞,就是网页没有对上传文件的形式进行限制,或者说对于其的限制可绕过从而产生的 漏洞,对于此漏洞,我们可以上传后门文件,例如一句话木马,从而获得网站的后门权限。 1.1 前端验证型 典例就是Ctfshow web 151 阅读全文
摘要:
前言:今天在学习命令执行漏洞的时候遇到了通配符,开始还以为是正则表达式,结果发现不是, 特此来学习一下 ## 1 .0通配符 通配符也叫文件名替换,主要用于替换文件名,常用于unix命令 ls find cp mv 等命令的执行,注 意和正则表达式区分 ## 1.1 * `*`用来匹配多个字符 以下 阅读全文
摘要:
前言:由于在实际开发过程中服务器大多部署在linux系统下,所以特此来学习linux的基本操 作 1.1pwd pwd命令的目的是打印当前目录,告诉你目前在哪里 比如我在kali终端中输入pwd,实际返回为/home/kali 1.2 ls ls可以列出当前目录下有什么文件 当然也可以查看不同目录的 阅读全文
摘要:
前言:正在学习命令执行漏洞,故记录一下 1.1 什么是命令执行 定义:用户输入的数据被当作系统命令执行 比如windows 下的cmd和linux下的bash 1.2 为什么会造成命令执行漏洞 1 代码层过滤不严格,没有过滤system等函数 2 系统的漏洞造成命令注入 3 调用的第三方组件存在代码 阅读全文
摘要:
前言:今天学习的时候遇到了正则表达式,还不怎么会,故来学习一下 1.1 什么是正则表达式 正则表达式是用于匹配字符串中字符组合的模式,当搜索文本中的数据是,可以使用搜索模式来描述搜索的内容, 很多语言都支持正则表达式,其实就是匹配字符的规则,可以用来判断字符串中是否含有某个字符或者某个字符串 或者判 阅读全文
摘要:
前言:今天做题的时候需要用到域名知识,故来学习一下 ## 1.1 域名的类型 域名分为一级域名,二级域名,三级域名 一级域名也被称为顶级域名 例如 .com .cn .jp .net .org 二级域名是你自己注册的域名,比如baidu.com 就是个二级域名 三级域名是二级域名的子域名,比如`ti 阅读全文
摘要:
前言:开始复习php了,之前学的内容忘差不多了,所以就补一些我忘了的内容,不会全补。 1 php 超级全局变量 php中预定了几个超级变量,这些变量在一个脚本的全部作用域中都可用,不需要特意说明,就可以在函数以及类 中使用 1.1 $GLOBALS $GLOBALS 是php中的有一个超级全局变量组 阅读全文
摘要:
前言:由于http报文这块学的很浅,导致有些报文看不懂,所以单独开个新博客来总结以下 # 1 HTTP报文 ## 1.1 http报文结构 http报文都是以ascll码表形式传输的,对于非ascll码表支持的文字,用多个特殊的ascll码字符组合来代表。 比如对中文等全角字符,都会使用多个特殊的a 阅读全文