- 博客(36)
- 收藏
- 关注
RSS订阅原创 Burp suite抓包问题
Burp 漏洞测试的时候,/success.txt总会引发一些问题。影响了正常的抓包。解决方法:1、浏览器访问:about:config2、搜索并双击network.captive-portal-service.enabled看到 true 为 false 后则关闭了3.刷新页面即可...
2021-04-09 17:46:27
568
原创 php复习题
1.Cookie和Session的区别和联系区别:1. session存储数据在服务器端,Cookie在客户端2. session没有数据大小限制,Cookie有3. session数据安全,Cookie相对于不安全4.Cookie只能存放字符串。Session还可以存放对象等其他类型。联系:1.cookie对象和session对象一样是用来保存特定的用户相关的数据2、通过cookie/session的名称来区分不同的cookie/session3、有生命周期,cookie最大可设置为50年,sessi
2021-03-04 21:12:54
2007
1
原创 SQL注入漏洞小结
一.SQL注入漏洞的基本概念1)前提1, 前端传入后端的参数是用户可控的;2, 传入的参数拼接到SQL语句,且带入数据库查询。2)成因由于WEB应用程序对用户输入的数据的合法性没有判断,用户通过可控参数中注入SQL语句,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为,成因归结为两个:1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造SQL语句。2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。二.SQL注入的分类按参数类型分类1)数字型注入
2020-11-19 16:06:11
667
原创 sqli-labs 16~20
Less-16 POST - Blind- Boolian/Time Based - Double quotes (基于bool型/时间延迟的双引号POST型盲注)尝试输入 Dumb”) or 1=1 #然后构造带有括号的注入回显成功,但没有返回信息,这便与15题的做法相同,仅需要将’改成")即可判断数据库长度payload:admin") and If(length(database())=8,1,sleep(5))#Less-17 POST - Update Query- Error B
2020-11-19 16:05:33
186
原创 sql-labs 9~15
Less-9 GET - Blind - Time based. - Single Quotes (基于时间的GET单引号盲注)不管怎么输入,回显总是you are …查看源码可知不管你怎么输入,输出结果都是You are in ,这就必须通过时间来判断了于是考虑时间型盲注,payload?id=1’ and sleep(3) --+此时发现明显延迟,说明注入成功,接着我们进行爆破即可爆库payload?id=1’ and if(length(database())=4 , sleep(3
2020-11-14 19:11:49
174
原创 动态、静态和伪静态
一.动态URL动态URL类似 域名/newsMore.asp?id=5 或者 域名/DaiKuan.php?id=17,带有?号的URL。我们一般称为动态网址,每个URL只是一个逻辑地址,并不是真实物理存在服务器硬盘里的1.优点: 适合中大型网站,修改也很方便,因为是逻辑地址,所以占用硬盘空间要比静态网页小2.缺点: 因为要进行运算,所以打开速度稍慢,不过这个可有忽略不计,目前有服务器缓存技术可以解决速度问题。最大缺点是URL结构稍微复杂,不利于记忆。3.动态URL对SEO的影响:目前百度SE已经能
2020-05-10 10:04:17
229
原创 处理burpsuite无法抓包的问题
一、检查代理服务器这里以火狐浏览器为例,首先打开服务器代理在配置好配置本地域名 并 清理掉 “不使用代理” 栏中的内容,点击确定,尝试抓包如抓包成功说明是屏蔽了本地的服务器导致,问题解决。二.CA证书的安装如果未解决问题,接着下来的步骤:配置好代理后,打开http://burp...
2020-04-29 22:43:32
4699
原创 burpsuite笔记
一.工具箱1.Target(目标)——显示目标目录结构的的一个功能2.Proxy(代理)——是一个拦截HTTP/S的代理服务器(抓包),作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 3.Spider(爬虫)——是一个应用智能感应的网络爬虫,它能完整的枚举应用程序的内容和功能。 4.Scanner(扫描器)[仅限专业版]——是一个高级的工具...
2020-04-29 22:30:39
237
原创 英语单词笔记
(一)primary memory主存secondary memory辅存disk磁盘hard disk硬盘floppy disk软盘compact disk光盘cdcircular环形的steel钢be made fromcylinder圆柱track轨道back and forth 来回地revolution n.革命; 旋转; 彻底改变; 运行,公转;spin转...
2020-04-23 21:25:45
462
原创 网页制作学习笔记
前言1.HTML语言的全称是:”Hyper Text Markup Language“,可以翻译为”超文本标记语言“,这个文字直观的告诉我们 它是一种标记语言,而不是一种编程语言,而且它是用标记标签来描述网页。现行的HTML语言被称为“HTML5”,简称”H5“。它是“万维网的核心语言、标准通过标记语言下的一个应用超文本标记语言(HTML) 的第五次重大修改”。经过接近八年的努力,万维网联盟于...
2020-04-15 18:04:47
1448
原创 upload-labs
一.upload-labs的环境搭配(我下载了别人分享的最新版本,也可直接到网站下载)1.下载好压缩包后将其解压到phpstudy的根目录里2.在phpstudy中选择打开5.7.26版本的mysql3.浏览器访问环境搭建完成啦~...
2020-04-09 22:43:34
346
原创 数据更新与视图
一、实验目的:熟练掌握SQL的常用数据更新操作。熟练应用INSERT,UPDATE,DELETE语句。掌握更新操作的各种格式。二、实验内容和主要步骤应用INSERT,UPDATE,DELETE语句进行更新操作;1) 插入如下学生记录(学号:08030,姓名:李莉,年龄:18)2) 插入如下选课记录(08030,1)3) 计算机系学生年龄改成204) 数学系所有学生成...
2020-04-02 14:12:08
1588
原创 数据库报错问题2
1093 - You can’t specify target table ‘sc’ for update in FROM clause执行下面操作时出现此报错意思是不能在同一语句中更新select出的同一张表元组的属性值于是将select出的结果通过中间表再select一遍即可。那么,问题来了!!!出现了新的报错!!1248 - Every derived table must h...
2020-04-02 10:50:59
916
原创 SQL复杂查询
对各表中的数据进行不同条件的连接查询和嵌套查询;1) 查询每个学生及其选课情况2) 查询每门课的间接先修课3) 将STUDENT,SC进行右连接4) 查询有不及格的学生姓名和所在系5) 查询所有成绩为优秀(大于90分)的学生姓名6) 查询既选修了2号课程又选修了3号课程的学生姓名、学号;方法一方法二7) 查询和刘晨同一年龄的学生8) 选修了课程名为“数据库”的学...
2020-04-01 11:30:48
2054
原创 视图
1.什么是视图:视图存放的是sql查询语句。使用视图时,会运行视图里的sql查询语句创建出一张临时表。2.如何使用视图:create view 视图名称(<视图列名1>,<视图列名2>,…)as<select 查询语句>3.视图的作用:需要频繁使用的sql语句可以写成视图,这样可以在用的时候直接使用视图数据随原表数据自动更新视图存储为sql语句...
2020-03-31 16:20:47
286
原创 HTML
HTML 是 HyperText Markup Language(超文本标记语言)的缩写,是一种用于创建网页的标准标记语言,使用标记标签描述网页中的文字、图片、链接等,标记标签由开始标签< >和结束标签</ >组成,两者中间填入内容。HTML 的基本结构打开你电脑的记事本,把下面这段代码复制到记事本中吧,我们开始一步一步来制作网页。!DOCTYPE html定义这...
2020-03-28 23:13:48
190
转载 HTML与CSS关系
学习制作一个静态网页需要掌握 HTML、CSS 语言。HTML 是网页内容的载体。内容就是网页制作者放在页面上想要让别人浏览的信息,包含文字、图片、链接等。CSS 是样式表现,就像是网页的外衣。比如,字体的选择、大小和颜色变化,或插入图片、边框等,这些用来改变网页外观的东西称之为表现。如果将静态网页比做一个人的话,HTML 就是人的四肢、眼睛和骨头这种实质性的东西,CSS 就是衣...
2020-03-28 23:02:12
269
原创 SQL连接查询语句
1. 查询每个学生及其选修成绩的情况2. 分别用左外连接和右外连接实现查询所有学生信息及其选修成绩的情况(包括没有选课的学生信息)3. 查询选修2号课程且成绩在90分以上的学生姓名和系别信息5. 查询每个学生的学号、姓名、选修的课程名及成绩6. 查询计算机系的学生所学课程的课程名。方法一方法二7. 查询姓张的同学学的课程的课程名称。8. 查询至少选修两门课程的学生姓名...
2020-03-27 15:58:40
4258
原创 数据库报错问题1
一.1267 - Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (gbk_chinese_ci,IMPLICIT) for operation '='可知是字符集的问题这是因为mysql在连接的过程中还有道编码,意思是当你报错时说明你的字符编码不一样,不能进行比较,也就是说数据库内部的编码都不一样。打开命令列查看MySQ...
2020-03-24 18:26:59
591
原创 SQL查询操作
实验步骤及实验结果1) 查询全体学生的学号和姓名2) 查询全体学生的详细记录3) 查询所有选修过课程的学生学号4) 查询考试有不及格的学生学号5) 查询不是信息系(IS)、计算机系(CS)的学生性别、年龄、系别6) 查询选修了4号课的学生学号和成绩,结果按成绩降序排列7) 查询每个课程号和相应的选课人数8) 查询计算机系(CS)的学生姓名、年龄、系别9) 查询年龄1...
2020-03-19 14:15:00
2550
原创 在MySQL进行定义操作
实验步骤及实验结果第一题:1. 先新建一个数据库2. 在命令列介面打开数据库3. 开始创建三个表student,sc,course成功创建表student2,course2,sc2第二题:创建供应商-零件数据库以及表,表要求如下:建立一个供应商、零件数据库。其中“供应商”表S(Sno,Sname,Status,City)分别表示:供应商代码、供应商名、供应商状态、供应商所在城市...
2020-03-19 13:40:32
3266
原创 sqlserver与mysql的差别
对关键字,保留字的写法不同sqlservermysqlselect * from tbName where [key]=‘test’;select * from tbName where ‘before’=‘test’;关键字一般用[ ]括起来即可关键字一般用 ``括起来,即~这个键的下面那个字符当前时间的写法,取n条记录sqlservermysq...
2020-03-13 17:56:30
286
原创 sqli_labs 1~8
首先了解sql 注入的基本步骤:1.判断是什么类型注入,有没过滤了关键字,可否绕过2.获取数据库用户,版本,当前连接的数据库等信息3.获取某个数据库表的信息4.获取列信息5.最后就获取数据了(依次按照爆库->爆表->爆列->爆数据的顺序进行爆破)url编码:一般的url编码其实就是那个字符的ASCII值得十六进制,再在前面加个%常用url编码有:空格是%20,单...
2020-03-13 12:10:42
150
原创 MySQL操作笔记(持续更新)
参数了解参数描述-u用户名-h地址-p密码创建和使用数据库数据库大小写敏感,而SQL语句不敏感create database menagerie;use menagerie # 进入数据库mysql -h host -u user -p menagerie # 连接到指定数据库,不然每次都要使用use来进入创建表show tables; #...
2020-03-11 11:33:03
214
原创 Get新技能2
(昨天键盘失灵可把我郁闷到了。。。今天新技能又来了)虚拟键盘快捷键win+R输入osk,点击确定即可。注意:如果你的电脑无法实现该操作,可能是你的电脑“主题”未设置,所以你可以点击“鼠标右键”–>选择“个性化”–>选择“Aero主题”好玩的符号1.word文档输入三个“=”,再按回车键,会打出一条双直线2.同样,三个“~”,再按回车键,会打出一条波浪线3.三个“-”...
2020-03-11 10:52:26
391
原创 MySQl的视图
视图的概念1.视图是一种查看数据库中一个或多个表中数据的方法,是保存在数据库中的select查询。2.视图是一种虚拟表,它的行和列来自查询中引用的表,在执行时,它直接显示来自表中的数据。视图的操作1.筛选表中的行。2.防止未经许可的用户访问敏感数据。3.将多个物理数据表,抽象为一个逻辑数据表。视图的创建与查看1.创建视图的格式:2.删除视图3.查看视图举例:视图的作...
2020-03-07 18:01:27
253
原创 针对开机慢的设置
1.右击“此电脑”,选择属性2.选择“高级系统设置”3.选择“高级”4.点击第三栏的“设置”5.将以下两个时间都改为0,然后点击确定6.右键桌面最下方,选择“任务管理器”7.选择“启动”栏,并将以下全部先选择“禁用”...
2020-03-05 22:27:47
190
原创 Get新技能1
电脑录屏Windows系统自带有录屏功能,不需要另外下载工具。1.打开命令行(“win+R”),然后输入“psr.exe”,按下回车键就开始录屏了。2点击开始记录:中途可以暂停记录3这时步骤记录器已经以幻灯片的形式回顾所记录的步骤4.最后将录屏保存在自己的文档中即可快速放大图片同时按下“win”和“+”;两个键即可满足,并且...
2020-03-05 22:05:21
300
原创 sql_labs注入环境搭建
将下载好的Sqli-labs.zip解压在phpstudy的网站根目录下配置sqli-labs的数据库按路径打开文件右键点击db_creds.inc打开Edit with Notepad++(也可直接用记事本打开):phpstudy的数据库默认用户名跟密码都是root,将user和pass修改你的mysql 的账号和密码(这个账号密码应该是你之前就重设置了的,不要乱改。如果进去被拒绝了说...
2020-03-05 10:56:23
359
1
原创 MySQL连接测试
打开 Navicat 8 for MySQL:点击文件创建连接建立连接:此处的端口号、root密码为安装时设置的连接完成:说明安装正确
2020-03-04 10:17:31
1035
原创 MySQL8.0的安装
在MySQL官网选择下载该版本打开运行后出现该界面:点击右侧Add按钮选择MySQl Servers选项:连点加号至该界面将选择好的8.0版本添加至右侧(然后点击NEXT按钮)点击Execute按钮等待DL完成点击NEXT按钮完成后点击Next按钮如果已安装其他版本MySQL,端口位置会出现黄色感叹号启动端口需要修改:点击NEXT按钮设置root密码,请牢记...
2020-03-04 10:07:29
217
原创 PHP命名空间
PHP命名空间php命名空间可以解决以下两种问题:1.用户编写的代码与PHP内部的类/函数/常量或第三方类/函数/常量之间的名字冲突。2.为很长的标识符名称(通常是为了缓解第一类问题而定义的)创建一个别名(或简短)的名称,提高源代码的可读性。命名空间简述定义命名空间:(默认情况下,所有常量、类和函数名都放在全局空间下,就和PHP支持命名空间之前一样。)命名空间通过关键字namespa...
2020-03-03 21:07:43
208
原创 网站的基本概念
网站的基本概念1) 服务器:提供计算服务的设备。其具体功能取决于设备上安装的软件和环境2) IP:网络之间互联协议(是为计算机网络互相连接进行通信而设计的协议),IP地址具有唯一性。3) 域名:是由一串用点分隔的名称组成(如www.itcast.cn)的Internet上某一台计算机或计算机组的名称。域名是一个IP地址...
2020-03-03 17:19:10
1059
原创 Python语言与C语言的简单区别
Python语言与C语言的简单区别1.python是一种基于解释器的脚本语言 (解释器会逐步读取代码)C语言十一阿红编译语言 (是将完整的源代码直接编译为机器代码)2.python不支持switch语言,而C语言可以;Python中没有do…while循环,而C语言有3.python中不需要声明变量类型,而C语言中必须声明;Python中测试或调试更容易,而C语言中更难4.pytho...
2020-03-03 17:16:21
605
原创 PHP学习笔记
Php语法:php是一种运行在服务器端的脚本语言,可以嵌入到HTML中Php代码标记ASP标记:<% php代码 %>短标记:<? Php 代码 ?>脚本标记:标准标记(常用):<? Php?>Php注释行注释 //: ,#:块注释 /: 内容/Php语句分割符结束符号:“;”(英文状态下的分号)定义内容:“;”特殊说...
2020-03-03 17:08:50
528
4
原创 CTF(Capture The Flag)
1.ReverseReverse题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译功底。 主要考查参赛选手的逆向分析能力。所需知识:汇编语言、加密与解密、常见反编译工具2.PwnPwn 在黑客俚语中代表着攻破,获取权限,在 CTF 比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有整数溢出、栈溢出、堆溢出等。主要考查参赛选手对漏洞的利用能力。所需知识:C,OD+IDA,数据结...
2020-03-01 16:15:24
494
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人