upstream_yu

发表于 2021-09-09 21:44阅读：89评论：0推荐：0

摘要：在做题的过程中，看到了很多师傅们的精彩文章。在这里收集一下大佬们的文章，因为大佬们的文章写得实在是太好了所以做个记录，常常看 (偶尔做添加) CTF SSTI Rayi师傅——《python flask ssti学习笔记》(胎教版) yu22x师傅——《SSTI模板注入绕过（进阶篇）》阅读全文 »

posted @ 2021-09-09 21:44 upstream_yu 阅读(89) 评论(0) 推荐(0) 编辑

2022年12月12日

[java安全基础 02]反射

发表于 2022-12-12 22:16阅读：48评论：0推荐：0

摘要： java反射这一篇和上一篇对不上，这里是补一下java反射知识点一个需求引出反射请根据配置文件re.properties指定信息，创建Cat对象并调用方法hi classfullpath=com.hspedu.Cat method=hi 这样的需求在框架学习中很多，即通过外部配置文件，在不修改阅读全文 »

posted @ 2022-12-12 22:16 upstream_yu 阅读(48) 评论(0) 推荐(0) 编辑

[java安全基础 03]CC1

发表于 2022-12-12 22:16阅读：87评论：0推荐：0

摘要： Commons-Collerctions链条 Apache Commons-Collections简介 Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库．它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache 阅读全文 »

posted @ 2022-12-12 22:16 upstream_yu 阅读(87) 评论(0) 推荐(0) 编辑

[java安全基础 01]SQL+反序列化

发表于 2022-12-12 22:15阅读：133评论：0推荐：0

摘要： tomcat Servlet 什么是servlet Java Servlet是运行在 Web 服务器或应用服务器上的程序．它是作为来自Web浏览器或其他HTTP客户端的请求和HTTP服务器上的数据库或应用程序之间的中间层。 servlet的功能：创建并返回基于客户请求的动态HTML页面与数据库进阅读全文 »

posted @ 2022-12-12 22:15 upstream_yu 阅读(133) 评论(0) 推荐(0) 编辑

2022年11月11日

00-DLL劫持&C语言远程加载shellcode

发表于 2022-11-11 20:11阅读：1272评论：0推荐：0

摘要： 0x01 杀软拦截检测规则引导-DLL劫持上线准备工具 cs vs2019 dll劫持工具：https://bbs.pediy.com/thread-224408.htm 极速PDF：https://jisupdf.com/zh-cn/pdf-reader.html#reader 简单说明：在火阅读全文 »

posted @ 2022-11-11 20:11 upstream_yu 阅读(1272) 评论(0) 推荐(0) 编辑

2021年12月7日

sqlmap 简单使用

发表于 2021-12-07 18:42阅读：561评论：0推荐：0

摘要： # sqlmap 简单使用环境：phpstudy：MySQL5.4.7 介绍 sqlmap是一个开源的渗透测试工具，它可以自动化检测和利用SQL注入缺陷以及接管数据库服务器的过程。它有一个强大的检测引擎，许多适合于终极渗透测试的小众特性和广泛的开关，从数据库指纹、从数据库获取数据到访问底层文件系阅读全文 »

posted @ 2021-12-07 18:42 upstream_yu 阅读(561) 评论(0) 推荐(0) 编辑

2021年11月28日

redis未授权访问漏洞——简单记录

发表于 2021-11-28 21:07阅读：721评论：0推荐：0

摘要： # 从0复现redis未授权访问漏洞环境：centos8(ip:10.0.0.3) 安装 redis 工具：kali(10.1.1.136) 1. 介绍 Redis REmote DIctionary Server(Redis) 是完全开源免费的，遵守BSD协议，Redis是一个由Salvato 阅读全文 »

posted @ 2021-11-28 21:07 upstream_yu 阅读(721) 评论(0) 推荐(0) 编辑

2021年10月7日

ctfshow_web入门 xss

发表于 2021-10-07 20:44阅读：1623评论：0推荐：0

摘要：额，怎么说呢，对xss理解不深刻，虽然做了XSS-LAB，但是感觉不会用，看了群主的视频，知道了原因，用群主的话来说就是，X的是自己。。。这个文章写得比较潦草。。。准备一个带nc的工具；无vps """ 牛啊牛啊！群主之前发了一个无公网IP反弹shell的视频，学到了学到了，牛啊牛啊。太牛了，阅读全文 »

posted @ 2021-10-07 20:44 upstream_yu 阅读(1623) 评论(0) 推荐(0) 编辑

ctfshow_web入门文件上传

发表于 2021-10-07 14:47阅读：841评论：0推荐：0

摘要：文件上传还是是一边学习一边做笔记的文章，由于是学习，所以会显得啰嗦还请各位师傅担待~ 如果有不正确的地方，请师傅们斧正~谢谢师傅们~ web150 火狐关闭js的插件一旦开启，就没法点击上传按钮了。而且这里没法上传.php .jpg等后缀文件，只能选择png格式图片。所以只能以够抓包然后修改内阅读全文 »

posted @ 2021-10-07 14:47 upstream_yu 阅读(841) 评论(0) 推荐(0) 编辑

2021年9月13日

ctfshow-web入门-SSTI学习

发表于 2021-09-13 22:29阅读：863评论：0推荐：0

摘要：千万要仔细，不要拼错单词千万要仔细，不要拼错单词千万要仔细，不要拼错单词 web 361 payload name={{[].__class__.__base__.__subclasses__()[80].__init__.__globals__['__builtins__']['eval']( 阅读全文 »

posted @ 2021-09-13 22:29 upstream_yu 阅读(863) 评论(0) 推荐(0) 编辑

upstream秦玉

公告

空里流霜不觉飞，汀上白沙看不见。

《春江花月夜》 - 唐代 - 张若虚

搜索

常用链接

随笔分类

随笔档案

阅读排行榜

推荐排行榜