chualam的博客

第一关刚安装好 发现写入引号没有报错 原来是忘记关闭magic_quote_gpc了发现注释符--无法注释掉后面的代码，任然报错，用--+替代解决了，--之所以无法注释掉，是因为与后面的引号连在一起了，而+作空格的作用，把它隔开常规注入table_name返回Subquery returns more than 1 row，则说明需要改成group_concat(table_name)账号密码一起注入 group_concat(username,'~',password)第二关不需要

php环境<?$pass = $_POST['pass'];echo $pass;?><form action="" method="post"><p>修改密码<input name="pass" type="text"></p><input name="sub" type="submit"></form>html payload代码<script>function post() {

环境代码：<?php$host = "127.0.0.1";$user = "root";$pass = "root";$db = "mysql";$conn = mysqli_connect($host,$user,$pass,$db);echo $id=mysqli_real_escape_string($conn,$_GET['id']);$sql = "select * from all_user where user=$id";if($row=mysqli_query($

注意代码：include如果php环境开启了allow_url_include则可以为远程包含同时可以使用 url参数=php://input 来写数据上下都是伪协议，不过 url参数=php://filter/read=convert.base64-encode/recource=index.php; 是不需要开启allow_url_include的如何断点：%00 和 ?(表示参数)...

echo,$_SERVER['PHP_SELF'],$_SERVER['HTTP_USER_AGENT'],$_SERVER['PHP_SELF'],$_SERVER['HTTP_REFERER'],$_SERVER['REQUST_URL']

passthru,exec,system,反引号,proc_open,shell_exec,pcntl_exec,popen补充eval(),，assert(), preg_replace()[php 7.0版本不再使用], create_function, call_user_func, call_user_func_array，array_map()，ob_start()解决方案:escapeshellarg（防止文件写入）,escapeshellcmd(过滤# & ;``,|

探测局域网内主机net view /allnet vew \\ip如果遇到 发生系统错误 6118，此工作组的服务器列表当前无法使用说明是因为防火墙拦截ping探测for /L(代表循环) %i(变量) in (1,1,254) do ping -w(等待回复的超时时间)30 -n（要发送的回显请求数） 192.168.0.%i | find "回复" >> sb.txt开启Dhcp服务器日志reg add HKLM\System\CurrentContr..

主机发现nmap -sn -PE-sn：NULL扫描，我的博客写过，请翻查-PE：全名icmp—echo——request（求报文请求），通常用于ping，我们发送一个icmp报文过去，其实就是求报文请求，如果对方存活，则应该回复一个icmp——echo——reply报文服务版本扫描nmap -sV-sV 端口版本扫描，例如对方把22端口改成了2222，我们就只知道对方开放了2222端口，而不知道端口运行了什么服务端口扫描nmap -sT -sU -p T:80,443,U.

什么是NULL扫描null其实指的是标志位为空这个标志位是tcp数据包的一个类型，指的是rst类什么是RST它的功能在于A与B创建了TCP连接，然后其中一端突然异常了，给另一方发送RST包，断开TCP连接，因为能够中断正常的连接，所以也衍生出了RST攻击NULL扫描的功能主要是浅显的判断操作系统类型的，如果发送RST包，对方系统没有返回包，那就是linux系统，反之，要是返回了数据，则是windows系统。原理Linux系统遵循RFC标准，如果端口开放，你还发包给这个端口，则

NDN的作用：替代TCP/IP框架，用数据内容替代管道的地位 要点： 1.用户只需提供数据名字，无需地址 2.无需从服务器拿数据，可以从就近的缓存拿，数据可以来自任何节点 3.所有数据包都要有数字签名TCP/IP只提供一个通讯管道，重视管道的维护，不关心内容的...

getBoundingClientReact().top/.bottom/.right/.left获取距离顶部的具体数值创建节点步骤1.let node = document.createElement("Li"); \\创建节点 LI是标签<li></li>2.let textnode = document.createTextNode("haha"); \\创建文本节点3.node.appendChild(textnode); \\把文本节点追加进节点4.docum

||utl_inaddr. get_host_nameid=1||utl_inaddr. get_host_name((select banner from v$version where rownum=1))爆数据库版本id=1||utl_inaddr. get_host_name((select owner from all_tables where rownum=1))爆库名id=1||utl_inaddr. get_host_name((select owner from all_tabl

针对的版本为mysql 5.5.5及以上bigint长度为八字节，也就是六十四比特，这类数据类型有最大的符号值用二进制，十六进制，十进制分别表示为“0b0111111111111111111111111111111111111111111111111111111111111111”、“0x7fffffffffffffff”和“9223372036854775807”mysql> select 9223372036854775807+1;ERROR 1690 (22003): BIGINT v

一般防御：JavaScript（直接禁用就好）content-type: image/gif (抓包改包)文件内容头（GIF89a）利用copy命令把图片和木马结合 木马头加上内容头就可以了后缀名黑白名单（大小写绕过，能被解析的扩展名列表jsp jspx jspfasp asa cer aspxphp php php3 php4exe exee，）配合文件包含漏洞（先上传一个包含恶意php代码的图片或者txt，有些waf只会对动态语言的页面进行验证）文件名解析漏洞（test.asp.　　tes

apache和nginx的日志不美观，很难看，所以一些管理员会对其进行排版并输出成html的格式这时我们在消息头的ua部分进行xss提交即可获取内网IP的js代码(使用WebRTC，因为浏览器限制，想获取真实的外网IP，除chrome、Firefox之外都不行)。如果想获取外网IP，把第12行，改为servers ={iceServers:[{urls:“stun:stun.services.mozilla.com”}]};就行了。在文章底部会给出代码，大伙可自行下载(打开控制台即可见到IP)。O

中转注入原理我们都知道request. querystring是get，request. form是post。而一般人为了方便都是直接使用request("")的方式请求，没有明确用哪种请求方式，asp的解析顺序是先get后post然后cookie传输 ，这里的中转注入就是利用了cookie注入的方法怎么检测？例如网站xx. com/?id=1把id给去掉 就无法显示正常页面，因为没有传递参数。这时在ie浏览器中输入JavaScript:alert(document.cookie=“id=”+es

iis6baidu. com/xx.asp/xx.jpgbaidu. com/xx.asp;.jpg都会被解析为asp文件默认可执行文件除了asp 还有cer asa cdxapache他是从右到左解析的，遇到不能识别的后缀名会直接跳过，例如xx. php. fuck 会解析成php配置问题导致的解析：apache的conf里面add handler php5-script和addtype application/x-httpd-php 当遇到类似于xx. php. jsp时会自动解析成php

url编码绕过%0a代替；%09*代替flag因为过滤了cat和/ 所以提交ca%5ct

如果是系统命令则cat<文件则cat{IFS}文件则cat<>文件如果是sql注入则union/**/select

ascii是每个标准转换码 可以转换成多种进制十六进制在php中会转换为十进制