web
Mr_小白先生
这个作者很懒,什么都没留下…
展开
-
php伪协议
php://input利用条件allow_url_include = On接受 POST 数据php原创 2020-10-10 14:40:09 · 1972 阅读 · 0 评论 -
JBOSS未授权访问
JBOSS主页# URL后添加 jmx-console/进入控制台,然后进入deployment# jar cvf back.war shell.jsp 将木马打成war包,然后放在公网服务器上,在箭头指向的地方填入war包地址原创 2020-10-09 23:51:11 · 2152 阅读 · 0 评论 -
反序列化漏洞
反序列化漏洞反序列化漏洞我以前看过很多次了,可是一直都不能理解,今天有做了一个bugku的题目,就好像突然开窍一样,所以就想记下来。下面就是源码<!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_ge...原创 2019-03-19 00:23:35 · 763 阅读 · 0 评论 -
bugku login1(SKCTF)
SQL约束攻击的原理他提示了SQL约束攻击,附上大牛原理的url:https://www.anquanke.com/post/id/85230看了大牛的原理说明后我首先就是注册了一个用户名为username(内有多个空格)1的用户,根据原理会返回原始用户的记录,但是用username登陆时出现了这个图片根据管理员的字样,我再注册了一个admin的用户,然后顺利拿到flag最后还是想...原创 2019-03-19 14:07:00 · 240 阅读 · 0 评论