I LOVE WEB

摘要： 概述： Gopher是Internet上一个非常有名的信息查找系统，它将Internet上的文件组织成某种索引，很方便地将用户从Internet的一处带到另一处。在WWW出现之前，Gopher是Internet上最主要的信息检索工具，Gopher站点也是最主要的站点，使用tcp70端口。但在WWW出 阅读全文

摘要： 0x00 概述： SQLite是一个进程内的库，实现了自给自足的、无服务器的、零配置的、事务性的 SQL 数据库引擎。它是一个零配置的数据库，这意味着与其他数据库一样，您不需要在系统中配置。 就像其他数据库，SQLite 引擎不是一个独立的进程，可以按应用程序需求进行静态或动态连接。SQLite 直 阅读全文

摘要： 0x01 安装redis centos安装Redis wget http://download.redis.io/releases/redis-3.2.0.tar.gztar xzf redis-3.2.0.tar.gzcd redis-3.2.0make 修改配置文件 redis.conf bin 阅读全文

摘要： 0x00 php://filter简单理解： php://filter 是php中独有的一个协议，可以作为一个中间流来处理其他流，可以进行任意文件的读取；根据名字，filter，可以很容易想到这个协议可以用来过滤一些东西； 使用不同的参数可以达到不同的目的和效果： 名称 描述 备注 resource 阅读全文

摘要： 漏洞分析： 由于mysql进行了非空约束，在限制字符中写入超过限制长度的空字符。 之后在超过限制长度的最后一位添加一个字符，这时会无视掉空字符，这样就可以假冒用户进行攻击了。 通常漏洞发生在注册页面，下面进行一个攻击演示。 创建一个user表并插入一个admin账户。 create table us 阅读全文

摘要： 北京时间9月20日，杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文，文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发，近百万PHP用户中超过67万用户已被黑客控制，并大肆盗取账号密码、聊天记录、设备码类等敏感数据多 阅读全文

摘要： 二次注入是指对已存的数据库内容被读取后再次进入查询语句之后产生的恶意SQL语句称之为二次注入，可能网站对我们输入的内容进行了转义，但是可以在没有转义的地方进行使用。 例如在注册页面，插入了相关的恶意语句，假如注册用户名是1' union select 1,user()# 这样的话，在再次构建SQL语 阅读全文

摘要： 首先我们知道，在计算机中每一个字符为8位，那么就是1个字节，所谓的宽字节注入就是两个字节合并从而进行绕过， 例如，韩文，日文，繁体字 都属于宽字节类型。 下面我来个简单的演示。 http://127.0.0.1/where.php?id=1’ 当我们输入单引号的时候，那么会被转义成\'，这样就无法进 阅读全文

摘要： 详细视频地址：https://www.bilibili.com/video/av63630684 测试一些网站的时候，一些注入都是无回显的，我们可以写脚本来进行盲注，但有些网站会ban掉我们的ip，这样我们可以通过设置ip代理池解决， 但是盲注往往效率很低，所以产生了DNSlog注入。具体原理如下。 阅读全文

摘要： 此代码可以有效抵挡住扫描攻击，对目录进行恶意扫描的IP封住。 首先waf是一个函数，之后global check，attack，和stop作为静态变量来注入函数内部，之后导入时间模块用来作为延迟0.3秒钟， META检测来源者的IP地址，之后判断IP地址是否存在于attack里面，如果存在stop为 阅读全文