摘要: [15] 三数之和 https://leetcode cn.com/problems/3sum/description/ algorithms Medium (23.65%) Likes: 1259 Dislikes: 0 Total Accepted: 83.6K Total Submission 阅读全文
posted @ 2019-08-23 01:25 芝士粉子 阅读(128) 评论(0) 推荐(0) 编辑
摘要: [401] 二进制手表 https://leetcode cn.com/problems/binary watch/description/ algorithms Easy (48.85%) Likes: 73 Dislikes: 0 Total Accepted: 5.2K Total Submi 阅读全文
posted @ 2019-08-17 22:30 芝士粉子 阅读(141) 评论(0) 推荐(0) 编辑
摘要: 基本知识: php中引发文件包含漏洞的通常是以下四个函数: require_once() 和 include_once() 功能与require() 和 include() 类似。但如果一个文件已经被包含过了,则 require_once() 和 include_once() 则不会再包含它,以避免 阅读全文
posted @ 2019-08-02 15:38 芝士粉子 阅读(592) 评论(0) 推荐(0) 编辑
摘要: 漏洞原理 HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,<title>与</title>之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标 阅读全文
posted @ 2019-07-30 16:50 芝士粉子 阅读(2695) 评论(0) 推荐(0) 编辑
摘要: 漏洞原理: CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任 阅读全文
posted @ 2019-07-30 01:32 芝士粉子 阅读(644) 评论(0) 推荐(0) 编辑
摘要: 漏洞原理 由于开发人员编写源码,没有针对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端执行。命令注入攻击中WEB服务器没有过滤类似system(),eval(),exec()等函数是该漏洞攻击成功的最主要原因。 命令执行分隔符: windows:&& || & 阅读全文
posted @ 2019-07-30 00:59 芝士粉子 阅读(1490) 评论(0) 推荐(0) 编辑
摘要: 工具:burpsuite 1.low 级别 设置代理,burp拦截,发送到intruder进行暴力破解 添加password位置,攻击类型sniper模式 设置好payload,准备好字典,开始攻击 根据响应内容长度得到密码为password 2. medium 级别 medium级别只是对输入的密 阅读全文
posted @ 2019-07-30 00:31 芝士粉子 阅读(624) 评论(1) 推荐(0) 编辑
摘要: 反弹shell 1.bash反弹 攻击机监听端口 -n: 不反向解析dns,即不通过ip解析域名 no dns -v: 详细信息输出 verbose -l: 监听 listen -p: 指定端口 port 靶机执行shell命令 bash -i:交互式shell >& :输入输出重定向:0 stdi 阅读全文
posted @ 2019-07-29 18:41 芝士粉子 阅读(3085) 评论(0) 推荐(0) 编辑