- 博客(17)
- 收藏
- 关注
RSS订阅原创 ctfshow-web入门-反序列化
_sleep() ://在对象被序列化之前运行__wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)如果类中同时定义了 __unserialize() 和__wakeup() 两个魔术方法, 则只有__unserialize() 方法会生效,__wakeup() 方法会被忽略。此特性自 PHP 7.4.0 起可用。__construct() :当对象被创建时,会触发进行初始化__destruct() :对象被销毁时触发。
2024-03-23 17:39:27
454
原创 JSP基本语法
JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合HTML代码、XHTML代码、XML元素以及嵌入JSP操作和命令来编写JSP。JSP通过网页表单获取用户输入数据、访问数据库及其他数据源,然后动态地创建网页。
2024-03-09 21:04:14
349
原创 xss-labs-master靶场
level1发现有一个name参数,值为test;对name进行payload注入name=<script>alert('hack')</script>说明源码是完全没有对get请求道德name变量进行过滤,所以会被执行。level21.test是以get请求发送的变量,2.在页面上发现了用户发送的变量查看源码发现我们输入的内容是一个文本框的value值,这样浏览器是不会执行我们的注入语句的,所以我们要构造标签闭合构造闭合标签,把inp
2024-03-09 20:42:51
396
原创 php特性题目
首先,它使用preg_match函数检查"num"参数是否包含数字。第二个if语句表示匹配$a开头和php结尾,如果开头是php则输出hacker,不满足则输出flag。第一个if语句表示匹配$a开头和php结尾,^表示开头,$表示结尾,i不区分大小写,m表示多行匹配。4476a无法绕过if($num==4476),可以使用八进制、十六进制以及科学计数法。md5()函数无法处理数组,如果传入的为数组,会返回NULL,所以是强相等的。如果get传了一个值,那么就可以用post覆盖get中的值。
2024-02-03 15:13:32
329
1
原创 SWPUCTF 2021 新生赛 easy_sql
打开题目,先查看源代码,发现参数是wllm。说明有两个表test_tb和users。,发现到4不行,说明字段数为3。
2024-01-27 15:14:39
564
1
原创 攻防世界新手模式
进入题目场景无法查看页面源代码在网址后+/index.php访问分析这段代码,第二行是检查通过 URL 传递的 'id' 参数的值是否等于 'admin'。我们把admin在bp里进行URL编码编码一次访问发现还是不可以,因为浏览器本身会进行因此url解码,这里相当于进行两次url解码两次URL编码后就可以了。
2023-11-09 19:09:23
42
1
原创 get和post传参
全称超文本传输协议,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。当我们在浏览器输入一个网址,此时浏览器就会给对应的服务器发送一个HTTP 请求,对应的服务器收到这个请求之后,经过计算处理,就会返回一个 HTTP 响应。而get和post就是HTTP 协议中两种请求方式,两者在本质上没什么区别。
2023-10-27 15:51:27
92
1
原创 phpstudy搭建网站
先打开Apache2.4.39和MySQL5.7.26。用记事本打开,输入"Hello World!在浏览器中查找127.0.0.1/123.com。打开根目录并新建文本文档。
2023-10-27 15:31:19
86
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人