摘要: 似乎在每天的浑浑噩噩里过的太舒服了,回过头来发现自己一直在退步,对于上进的想法也渐渐消失。也曾怪罪于外界的环境,单终究是自己的问题,从现在开始重新出发吧 为时不晚!!! 阅读全文
posted @ 2020-01-13 10:51 Z#3 阅读(131) 评论(0) 推荐(0) 编辑
摘要: 很简单 阅读全文
posted @ 2019-11-18 17:30 Z#3 阅读(298) 评论(0) 推荐(1) 编辑
摘要: 以前一直没做过xss的题,这次按writeup做题感觉有所收获,记录一下吧 1. xss 的waf的绕过 ()都被过滤,把所有的payload转为 "HTML Markup" ,其实就是& 加ascii码 2. payload output就是下面的东西转化为HTML Markup编码的东西,这是X 阅读全文
posted @ 2019-11-14 23:52 Z#3 阅读(938) 评论(0) 推荐(0) 编辑
摘要: XML外部实体注入 1. 产生 XML外部实体是一种自定义XML实体,其定义值是从声明它们的DTD外部加载的。 外部实体允许基于文件路径或URL的内容定义实体。 2. 例子 1. 读取文件 2. Billion laughs attack 阅读全文
posted @ 2019-09-24 21:07 Z#3 阅读(187) 评论(0) 推荐(0) 编辑
摘要: JPEG (jpg),文件头:FFD8FF 文件尾:FFD9 PNG (png),文件头:89504E47 文件尾:AE 42 60 82 GIF (gif), 文件头:47494638 文件尾:00 3B ZIP Archive (zip) ,文件头:504B0304 文件尾:50 4B RAR 阅读全文
posted @ 2019-09-23 21:01 Z#3 阅读(433) 评论(0) 推荐(0) 编辑
摘要: upload_lads Pass_04 .htaccess 可以设置所在文件夹全以php解析 先上传.htaccess ,然后上传图片马 阅读全文
posted @ 2019-09-22 20:55 Z#3 阅读(141) 评论(0) 推荐(0) 编辑
摘要: 常用php:// 1. php://input php://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。 比较特殊的一点,enctype=”multipart/form data” 的时候 php://input 是无效的。 2 阅读全文
posted @ 2019-09-17 20:23 Z#3 阅读(669) 评论(0) 推荐(0) 编辑
摘要: re.match 尝试从字符串的起始位置匹配一个模式,如果不是起始位置匹配成功的话,match()就返回none. pattern : 正则表达式 string : 要匹配的字符串 flags : 标志位 匹配成功返回一个匹配的对象,否则返回None. 用group(num) 或 groups() 阅读全文
posted @ 2019-09-17 15:22 Z#3 阅读(389) 评论(0) 推荐(0) 编辑
摘要: 1. rot 2. 栏栅密码 阅读全文
posted @ 2019-09-17 11:48 Z#3 阅读(382) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2019-09-16 23:30 Z#3 阅读(4) 评论(0) 推荐(0) 编辑