自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(9)
  • 收藏
  • 关注

原创 DVWA学习日记-文件包含(File Inclusion)

文件包含(File Inclusion),一种代码处理方法,函数如include,requirede等参数名是文件名 漏洞文件名参数用户可控且过滤不严,被攻击者偷梁换柱。 准备首先在php.ini设置打开设置配置文件,在在配置文件中将allow_url_include =On 、allow_url_open=On Low级别 <?php // The page we wish to display $file = $_GET[ 'page' ]; ?> 可以看到服务器端对page参数没

2020-11-22 13:19:56 153

原创 DVWA学习日记——跨站请求伪造(CSRF)

CSRF:Cross-site Request Forgery ,跨站请求伪造。 利用用户已登录的身份,在用户不知情的情况下以用户的名义(cookie)完成非法操作。 CSRF与XSS区别 CSRF并没有盗取cookie而是直接利用。 CSRF指向服务端,属于业务逻辑漏洞,服务器信任经过身份认证的用户 XSS指向客户端,属于技术漏洞,客户信任服务器 危害:被转账、被发广告等,制造蠕虫。 攻击过程:用户正在银行的网站上进行转账操作,此时用户点击黑客构造的恶意链接,自动完成向黑客转账的动作。通常cookie中会

2020-11-22 12:24:48 159

原创 DVWA学习日记——命令注入(Command Injection)

命令注入(Command Injection),是指是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 Low级别 window和linux系统都可以用&&来执行多条命令 127.0.0.1 && net user <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and

2020-11-17 16:11:22 555 1

原创 备份文件下载

常见的网站源码备份文件名 1.web 2.website 3.backup 4.back 5.www 6.wwwroot 7.temp 常见的网站源码备份文件后缀 1.tar 2.tar.gz 3.zip 4.rar

2020-11-04 21:28:32 177

原创 BUUCTF-Writeup2

BUUCTF-Writeup2 [GXYCTF2019]Ping Ping Ping 拿到题目后根据提示随便ping一下看一下文件信息 我们直接试着抓一下flag /?ip=127.0.0.1|cat flag 应该是过滤了一些字符,过滤空格我们可以用一下方式代替 $IFS ${IFS} $IFS$1 //1改成1改成1改成加其他数字貌似都行 < <> {cat,flag.php} //用逗号实现了空格功能 %20 %09 ...

2020-10-04 19:14:45 242

原创 BUUCTF-Writeup

BUUCTF-Writeup 1.Web-[极客大挑战 2019]Secret File 把一切都放在那里了,看到奇怪的背景颜色想到可能会在背景隐藏东西试一下Ctrl+A,果然 点击后跳转界面 我们可以找到但当我们访问action,php时,会直接跳转到end.php,抓包后可得到 访问可得 利用文件包含漏洞(PHP伪协议) ?file=php://filter/read=convert.base64-encode/resource=flag.php 解码后即可得到flag 2.[ACTF2020 新

2020-09-26 11:26:10 529

原创 Kali安装教程

Kali安装教程 1.访问kali官网(https://www.kali.org)下载 有百度网盘会员的话可以下载这个 链接:https://pan.baidu.com/s/1WOAVaMRznozNE39rg1EJbw 提取码:uwj4 下载后获得镜像如下 2.创建新的虚拟机 3.选择典型 4.选择映像文件 5.选择Linux版本根据自己需求和版本选择 6.命名选择位置 7.将虚拟机磁盘储存为单个文件 8.根据自己配置自定义硬件 1.开启虚拟机开始安装,选择Graphical install 2.选

2020-08-09 18:18:30 706

原创 BugkuCTF_WEB

BugkuCTF_WEB习题(持续更新) 1.web2 这题查看源代码即可,在url前加上 view-source: 。或者按F12也行 2.计算器 按F12, 用选区器选取文本框,在maxlength那个把1改大就可以正常输入了 3.web基础$_GET 在get请求时,传入参数形式是在url后面加?参数=值。多个参数用& http://123.206.87.240:8002/get/?what=flag 4.web基础$_POST POST请求没办法写在url里,这里用到hackba

2020-06-14 23:46:11 300

原创 正则表达式基础

正则表达式基础学习小结什么是正则表达式正则表达式基础知识点1.元字符2.反义3.重复4.分组5.字符转义6.条件或7.区间 什么是正则表达式 正则表达式,又称规则表达式。(英语:Regular Expression,在代码中常简写为regex、regexp或RE),计算机科学的一个概念。正则表达式通常被用来检索、替换那些符合某个模式(规则)的文本 通俗的讲就是是一种特殊的字符串模式,用于匹配一组字符串 正则表达式基础知识点 1.元字符 元字符是构造正则表达式的一种基本元素 元字符 说明 .

2020-06-07 21:47:29 196

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除