- 博客(11)
- 收藏
- 关注
RSS订阅原创 文件合并.
最后可以查看文件,若打不开则考虑文件是否损坏可尝试添加对应的文件头(用10editor,然后再保存)即可查看文件。cat 需要合成的文件名1 需要合成的文件名2 需要合成的文件名3 < 合成的文件名称(记住后缀)如果需要合成的文件名的名称是有规律的,如图那样,那可以用文件名相同部分*代替,如gif*此处声明:该笔记所有内容来自b站Max极客菌的网络安全CTF系列一百集!查看是否和提供的md5.txt内容相同,同则生成成功。copy /B 合并的文件 输出的文件。生成合成文件,查看文件完整性:用。
2025-01-12 01:38:28
145
原创 MySQL常用报错注入命令
select rand()运行:产生一个0~1之间的数,而且每次产生的数据不同·select rand(0)运行:产生的数仍在0~1之间,每次产生的数据相同。select rand(0)*2 运行:产生的数在0~1之间,每次都是0。select floor(rand()*2):要么是1要么是0。select floor(rand(0)*2):每次都是0。
2025-01-12 00:57:06
217
原创 10editor使用
根据提示发现文件类型是rar,最后全选字符,点击Selection,Save Selection保存文件(记得文件后缀要和提示一致)将文件导入10editor中的import Hex。点击以上按钮后,文件命名为文件头对应的文件类型。
2025-01-12 00:52:14
245
原创 用kali查看图片类型(jpg/png/gif)
即使图片名显示的不是真实的图片类型,用kali还是可以 发现真实的图片类型。cd 进入需要识别类型的文件。命令:file 图片名称。
2025-01-10 15:17:42
391
1
原创 一个很简单的RCE
这在开发环境中通常是不推荐的,因为它会隐藏可能的问题,但在某些情况下,比如公开的代码演示或沙盒环境,可能会使用这个设置。这是一个非常危险的函数,因为它可以执行任何PHP代码,包括修改服务器文件、执行系统命令等。再cat +flag.php拿到flag,空格的url编码是%20,,点的url编码是%2e。来自不可信的源(如用户输入),它可能会导致严重的安全问题,如远程代码执行(RCE)。是一个PHP函数,它会显示当前文件的源代码,并使用语法高亮。是一个魔术常量,它包含了当前执行脚本的完整路径和文件名。
2024-11-30 01:12:45
319
原创 MySQL文件的导入与导出
其次在Navicat里面双击localhost,点击新建数据库,给数据库取名字,再选择字符集为utf8(一般字符集都选择为utf8)排序规则可以不填(默认),点击确定即可。点击要还原到文件,选择好文件后更改要还原到数据库名的名称(这里简单说就是给这个导入的文件取个数据库名字,点击导入即可。其次,打开Navicat,启动localhost方便之后导入:点击localhost,标号变绿就说明打开成功。多提一点,一般呢,我们还是尽量选择第二种方法,避免一些因为粗心没有完全复制好数据内容而产生不必要的麻烦。
2024-11-12 21:49:28
711
原创 install.lock文件
在我们正在下载程序包时,程序包里面的install文件里面会自动生成一个install.lock文件,如果安装程序包成功,那么install.lock文件会被自动删除,若在安装过程中遇到问题,程序包只安装到一半,那么install.lock不会被删除,此时install.lock文件就起到了标志该程序包只安装部分再次重新安装时会有文件重复。这也确保安装程序包过程中只允许在同一时间段执行一次。lock英文释义是锁,install是下载,那么install.lock顾名思义就是下载的锁。
2024-11-04 19:47:31
470
原创 BaseCTF2024
看到gif,打开,发现一位打球的坤坤,没有发现flag,放入kali里面试一试,binwalk没有发现压缩包,再foremost+文件名 -o out 将文件恢复且把恢复的文件放入out文件夹中。根据提示,找到CyberChef工具,看到六个等号,用base32解码,没有找到flag,,输入Basectf转化为base64,发现结果和第一次用base32解码出的结果前段部分一样。查看out文件,发现里面都是一些图片,再看看doc,里面多了几行字,叫我们再找找。看到是txt文件,先打开。
2024-11-01 21:11:48
453
空空如也
post提交方式,用hackbar提交的,php代码
2024-11-30
TA创建的收藏夹 TA关注的收藏夹
TA关注的人