- 博客(4)
- 收藏
- 关注
RSS订阅原创 Sql注入和基本语法
web页面源代码对用户提交的参数没有做出任何过滤限制,直接扔到SQL语句中去执行,导致特殊字符改变了SQL语句原来的功能和逻辑。黑客利用此漏洞执行恶意的SQL语句,如查询数据、下载数据,写webshell、执行系统命令以此来绕过登录权限限制等。
2024-11-15 22:24:25
791
原创 文件上传漏洞和一句话木马
在文件上传的功能处,若服务端脚本语言未对上传的文件进行严格验证和过滤,导致恶意用户上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,这就是文件上传漏洞。文件上传漏洞对Web应用来说是一种非常严重的漏洞。一般情况下,Web应用都会允许用户上传一些文件,如头像、附件等信息,如果Web应用没有对用户上传的文件进行有效的检查过滤,那么恶意用户就会上传一句话木马等Webshell,从而达到控制Web网站的目的。
2024-11-11 21:44:47
574
原创 upload靶场wp
2.黑名单策略—在服务器上不允许特定后缀的文件上传(PHP, asp, jsp) php环境可以尝试的后缀php1,php2,php3,php4,php5,php6,php7,phtmI, pht。2.查看第源码发现,意思是如果上传了它这些后缀的文件,就会把后缀名删除,没了后缀名也就无法正常解析,同样也是只验证一次即把后缀名改为.pphphp,删除中间的php后缀仍然为php,后即可通过。3.方法:禁用js。2.另一个方法是:代码没有循环过滤,只有一次,去除后缀中的点,小写,去除空白只进行一次。
2024-11-11 21:00:26
1181
原创 Windows和linux基本命令
用于显示服务器的打开文件数量和空闲回话时间及用户登录数量。traceroute:显示数据包在网络中的路由路径。traceroute:显示数据包在网络中的路由路径。显示域列表、计算机列表或指定计算机的共享资源列表。top:显示当前正在运行的进程和系统资源使用情况。ifconfig:显示当前计算机的网络接口配置。ifconfig:显示当前计算机的网络接口配置。netstat:显示当前计算机的网络连接状态。netstat:显示当前计算机的网络连接状态。在文件中所搜索字符串或在内容中去搜索字符串。
2024-11-11 15:53:03
469
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人