- 博客(29)
- 收藏
- 关注
RSS订阅原创 CVE-2025-55182 (React2Shell) 漏洞分析与复现
CVE-2025-55182是 Next.js 15.x 的高危 RCE 漏洞(CVSS 9.8)。攻击者只需发送一个精心构造的+ HTTP POST 请求,即可在服务器上执行任意系统命令。
2026-05-13 18:53:14
437
原创 RCE绕过学习笔记
深入总结PHP代码审计核心技巧,涵盖命令/代码执行函数、回调函数后门、无字母数字Webshell、有限长度绕过、无参RCE、多重过滤绕过及open_basedir与disable_functions绕过实战,对比各PHP版本利用差异,适合Web安全学习者巩固进阶。
2026-05-11 17:21:14
442
原创 SQL预编译学习笔记
本文摘要: Git相关操作包括查看提交历史(git log)、切换HEAD指针(git checkout)等。JWT由Header、Payload、Signature三部分组成,用于身份验证。Jumpserver是开源堡垒机系统,提供集中管控、权限隔离和操作审计功能。SQL注入防护方面,讨论了预编译的两种实现方式:虚假预编译(自动转义引号)和真实预编译(参数化查询),指出order by等位置仍可能存在注入风险。宽字节注入(%df%5c)和编码绕过技术也被提及。最后分析了PHP接收重复参数时的特性
2026-04-26 17:28:57
414
原创 SQL注入学习笔记一
摘要:本文总结了PHP安全配置、SQL注入技术及MySQL数据库安全相关知识点。主要内容包括:1)PHP安全设置如disable_functions和魔术引号机制;2)SQL注入技术详解,包含联合查询、报错注入、文件导出等方法;3)MySQL系统函数及数据库结构信息获取;4)SQLMap工具常用参数解析;5)特殊绕过技术如科学计数法、正则回溯等;6)实际注入案例演示,包括表名、列名获取及数据提取技巧;7)HTTP头注入等特殊场景攻击方式。这些内容涵盖了从基础配置到高级注入技术的完整知识体系。
2026-01-30 00:04:53
953
原创 渗透测试学习笔记二
摘要:本文总结了PHP文件包含漏洞相关知识点,包括利用include执行任意文件、伪协议(file:///、php://filter等)的利用方法,以及eval函数实现木马的原理。同时分析了BurpSuite抓取HTTPS流量的条件与防御/绕过方法,介绍了Frida、VMP壳等工具。还包含POST/GET传参区别、蚁剑流量特征、LFI漏洞利用技巧(临时文件竞争、PHP版本崩溃漏洞)等安全测试技术要点,涉及Base64编码、URL编码转换等具体操作方案。
2026-01-24 09:54:34
1043
原创 第五次作业
我清楚,从零开始需要付出更多努力,但正因为知道自己起点低,才更珍惜能进入行业的机会,反而不会轻易放弃 —— 毕竟,“用时间补差距” 的过程本身,就需要长期投入的决心。比如在上一份实习中,团队突然需要使用一款我从未接触过的数据分析工具(例如 Tableau),当时项目时间紧张,我利用 3 天时间,通过官方教程、在线课程以及向有经验的同事请教,快速掌握了数据可视化的核心操作,并用它完成了一份包含 5 个关键指标的分析报告,最终帮助团队提前 1 天完成了项目汇报,这份报告也得到了领导的认可。
2025-08-01 17:43:35
794
原创 python作业三
贵公司在 [行业领域,如 “互联网教育”“智能制造”] 的领先经验,能让我接触到更复杂的 [具体工作场景,如 “跨部门协作”“高量级项目执行”],快速提升专业深度。创新视角:我关注到行业内 [新趋势 / 新工具,如 “AI 在客户服务中的应用”],结合贵公司的 [现有优势,如 “庞大的用户数据”],可以探索 [具体创新方向,如 “智能客服响应效率优化”],为业务带来新的增长点。仅关注信号的传输,不涉及数据含义。即对堆中的任意节点,其值都大于或等于它的左、右子节点的值,堆顶(根节点)是整个堆中的最大值。
2025-07-21 17:32:47
968
原创 python作业二
如果能加入贵公司,我会专注于把工作做好,和团队一起达成目标,相信随着自身能力的提升和贡献的积累,薪资自然会得到合理的体现。如果遇到这样的情况,我首先会冷静分析背后的核心需求 —— 我更看重的是平台能否提供持续成长的空间、团队氛围是否契合我的工作风格,以及个人职业目标能否与企业的发展方向同频。比如贵公司在xxx布局,正是我希望深耕的方向,而团队在 xxx上的特点,也让我觉得能在这里更好地发挥价值。即便这次没能合作,我也会持续关注贵公司的发展,如果未来有更匹配的岗位,我依然希望能有机会再次尝试。
2025-07-15 21:43:19
763
原创 第一次作业
答:动态类型是一种编程语言特性,允许变量的类型在运行时动态确定,而不需要在代码中显式声明.Python 的每个变量可以随时赋予不同类型的值,这使得代码更具灵活性.# 变量初始为整数类型x = 10print(type(x)) # 输出: <class 'int'># 变量重新赋值为字符串类型print(type(x)) # 输出: <class 'str'>
2025-07-09 21:37:23
1036
原创 第三次作业
开放/nfs/shared目录,供所有用户查询资料开放/nfs/upload日录,为192.168.xxx.0/24网段主机可以上传目录并将所有用户及所属的组映射为nfs-upload,其UID和GID均为210将/home/tom日录仅共享给192.168.xxx.xxx这台主机,并只有用户tom对该目录有读写权限
2025-05-26 18:07:06
131
原创 mysql第三次作业
从student表和score表中查询出学生的学号然后合并查询结果。查询都是湖南的学生的姓名,年龄,院系,和考试科目及成绩。从student表中查询计算机和英语系学生信息。查询姓张和姓王同学的姓名院系和考试科目及成绩。从student表中查看年龄小于22岁学生。从student表中查询每个院系有多少人。用连接的方式查询所有学生的信息和考试信息。查询student表和score表。从score表中查询每个科目最高分。查询计算机成绩低于95的学生信息。查询李广昌的考试科目和考试成绩。计算每个考试科目平均成绩。
2025-03-26 13:27:24
149
原创 第二次作业
列出1960年以前出生的职工的姓名、参加工作的时间。列出工作在1000-2000之间的所有职工姓名。将职工表worker中的职工按出生日期先后排序。列出所有姓刘的职工的职工号、姓名、和出生日期。查询所有职工所属部门号,不显示重复部门号。创建一个只有职工号、姓名、工作时间的新表。列出所有2、3部门的姓名,职工号、党员否。显示工资最高前3名的职工和、姓名。列出总人数大于4的部门号和总人数。列出所有姓陈和姓李的职工名字。列出职工的平均工资和总工资。统计各部门工资和平均工资。列出最高工资和最低工资。
2025-03-23 14:28:23
208
原创 BGP综合实验
1.AS1存在两个环回,一个地址为192.168.1.0/24该地址不能在任何协议中宣告,AS3中存在两个环回,一个地址为192.168.2.0/24,该地址不能在任何协议中宣告,最终要求两个环回可以相互通讯2.整个AS2的地址为172.16.0.0/163.AS间的骨干链路ip地址随意定制4,使用BGP让整个网络所有设备的环回可以互相访问5,减少链路条目数量,避免出现环路
2024-07-28 21:13:00
325
原创 路由策略实验
192.168.1.0--拒绝192.168.2.0--类型一 192.168.3.0--种子度量改为10192.168.4.0--打上tag 666 类型一 种子度量1012.0.0.0--正常放通
2024-07-24 04:38:02
260
原创 OFPS综合实验
1,R4为ISP,其上只能配置IP地址;R4与其他所有直连设备间均使用公有IP2,R3-R5/6/7为MGRE环境,R3为中心站点;3,整个OSPF环境IP基于172.16.0.0/16划分;4,所有设备均可访问R4的环回;5,减少LSA的更新量,加快收敛,保障更新安全;6,全网可达
2024-07-16 22:16:15
389
原创 MGRE环境下的OSPF实验
需求1.R6为ISP只能配置IP地址,R1-5的环回为私有网段。2.R1,4,5为全连的MGRE结构。R1,2,3为星型的拓扑结构,R1为中心点。3.所有私有网段可以相互通讯,私有网段使用OSPF完成。
2024-07-11 10:40:39
450
原创 RIP环境下的MGRE网络实验
1.R5为ISP,只能进行IP地址配置;其所有地址均为公有IP地址2.R1和R5间使用PPP的PAP认证,R5为主认证方;R2与R5之间使用PPP的chap认证,R5为主认证方;R3与R5之间使用HDLC封装。3.R1/R2/R3构建一个MGRE环境,R1为中心站点;R1、R4间为点到点的GRE。4.整个私有网络基于RIP全网可达5.所有PC设置私有IP为源IP,可以访问R5环回。
2024-07-09 02:06:04
497
原创 ensp实验
1.除R5的环回地址固定以外,整个其他所有网段基于192.168.1.0/24进行合理的ip地址划分2.R1-R4每个路由器存在两个环回接口,用于模拟连接PC网段;地址也在192.168.1.0/24这个网络范围内,R3下面PC通过DHCP获取一个合法的地址3.R1-R4上不能直接编写到达5.5.5.0/24的静态路由,但依然可以访问4.全网可达,尽量减少每台路由器,路由表条目数量,避免环路出现5.R4与R5间,正常1000M链路通讯,故障时自动改为100M
2024-06-15 21:20:11
333
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人