摘要:
Cross Site Request Forgery (跨站请求伪造): File Inclusion(文件包含) 本地文件包含: 等级为low时代码为如下 直接../../robots.txt读取robots.txt文件 在linux下可访问/etc/passwd 等级为medium时代码为如下 阅读全文
摘要:
DVWA 阅读全文
摘要:
GetShell思路:根据里面漏洞代码直接取post数据后缀作为后缀这一特性,且CMS支持FTP。 利用FTP上传图片,通过下载上传的正常图片(已被PHP的GD库渲染)之后, 利用脚本在图片中插入payload, 再次利用FTP上传达到GET Shell的目的。 索马里师傅的post数据如下: 我们 阅读全文
摘要:
xdebug.remote_enable =on一定要打开,php.ini中的port要和以上的两个相同. 剩余的就是打开插件进行调试 阅读全文
摘要:
0x00 Django 概念 Django-python 的一个 web 框架,把 CGI,WSGI 模式的代码进行整合的一个框架。 0x01 MTV 模式 与一般的 MVC 模式不同,因为 Django 本身的整合性,C(controller)已经整合,不需要去设置,而对我们来说重要的为 MTV( 阅读全文
摘要:
看完知乎米斯特安全专栏的一篇文章,自己实验了下 传送门:https://zhuanlan.zhihu.com/p/22752510 漏洞存在位置:zs/contrast.php 在这里可以看到sql语句没有进行任何过滤,但是$id=$id.($_POST['id'][$i].',');所处的循环只会 阅读全文
摘要:
composer install命令出错--> 解决方法:因为镜像使用用的是http,而原地址是需要https,所以配置下关掉https就好了。 报错信息: 解决方案:修改php.ini开启openssl拓展 Laravel 出现"RuntimeException inEncrypter.php l 阅读全文