- 博客(15)
- 收藏
- 关注
RSS订阅原创 Python入门(二)
字典由两部分视图构成:键视图(Key)和值视图(Value)。创建元组,并将多个数据放到元组中,这个过程被称为元组打包。start是开始索引、end是结束索引、step是步长。元组(tuple)是一种不可变序列类型。语法**[start🔚step]**在键视图中,键和值是成对出现的。创建元组有两种方法。集合(set)是一种。
2023-06-27 20:05:44
121
1
原创 WEB入门——PHP反序列化漏洞
在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。二进制格式字节数组json字符串xml字符串。
2023-06-08 19:13:51
264
原创 CTF练习——代码审计
页面无返回值,也没有报错。说明通过了所有拦截,但是文件不存在或者是空白的。在source.php中展示了源代码,下面进行源码分析。源码中注释了source.php,直接访问该页面。一次尝试 payload =,最后获得flag。
2023-06-04 23:04:49
558
原创 WEB入门——文件包含漏洞与PHP伪协议
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。随着网站业务的需求,程序开发人员一般希望代码更灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞。
2023-06-04 20:35:32
856
1
原创 WEB入门——命令连接与绕过
输入baidu.com|cat flag.php,发现服务器识别了空格。于是输入baidu.com|cat<>flag.php ,服务器也识别了符号。显示在当前目录下有flag.php和index.php。分析index.php的内容,可以知道过滤了&、<、>、*、{、}、(、)等,试着用编码绕过。尝试使用$IFS 命令绕过空格,结果flag被过滤了。baidu.com|cat$IFS$1index.php 得到index.php的内容。有时候会碰到,WAF过滤了一些关键字或者空格。
2023-06-04 16:30:03
134
1
原创 WEB-文件上传练习
WEB-文件上传[WUSTCTF2020]CV Maker[WUSTCTF2020]CV Maker观察页面,发现需要注册,所以先注册,然后登录。登录后有一个 跟换头像 。先直接选择WebShell文件——hello.php进行上传 。<?php eval($_POST['data']);?>显示 exif_imagetype not imageexif_imagetype是判断一个图像的类型的进程。上传一张正常的图片,提示上传成功,并且头像修改了接着上传
2023-06-04 13:12:05
87
1
原创 WEB入门——文件上传漏洞
文件上传漏洞服务端代码未对客户端上传的文件进行严格的验证,导致漏洞。如果.php后缀被限制,可以尝试:.php3、php4、.PHp(修改大小写)、.phtml、.pht等后缀,WebShell的内容一样。这两个配置的意思就是:我们指定一个文件,那么该文件就会被包含在要执行的php文件中(如index.php)。如果客户端JS脚本有加限制(例如上传图片,JS脚本显示了只能上传图片格式,不能上传.php后缀的文件)。1、上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,脚本语言执行。
2023-06-04 11:48:07
3984
1
原创 WEB入门——WEB基础
Phpstudy启动的web服务器,默认其其他机器是可以访问的,而我们测试用的网站一般都是有漏洞。所以如果phpstudy直接安装在物理机上,最好限制网站只允许本地访问。一般来说URL的长度不宜过长,所以需要传递的参数比较大,使用POST请求。POST相比GET安全一些,因为GET请求的参数直接暴露在URL上。——所以铭感信息不要使用GET参数传递。
2023-05-26 22:52:19
1061
2
原创 Python入门(一)
任何类型的数据都可以通过bool()函数转换为布尔值,那些被认为"没有的""空的"值会被转换为False,反之被转换成True。在python中为一个遍历赋值的同时就声明了该变量,该变量的数据类型就是赋值数据所属的类型,该变量还以接收其他类型的数据。python 中有6种主要的内置数据类型:数字、字符串、列表、元组、集合和字典。除复数外,三种数字类型的转换函数int()、floa()和bool()函数。Python中有4种数字类型:整数类型、浮点类型、复数类型和布尔类型。1、隐式类型的转换:自动转换。
2023-05-26 13:38:54
52
1
原创 MISC入门——图片隐写
可交换图像文件格式(英语:Exchangeable image file format,官方简称Exif),是专门为数码相机的照片设定的,可以记录数码照片的属性信息和拍摄数据。
2023-05-24 20:57:17
3771
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人