xiaodi漏洞发现(12)

最新推荐文章于 2022-05-13 18:12:51 发布
最新推荐文章于 2022-05-13 18:12:51 发布
阅读量157 收藏
点赞数
分类专栏: 小迪 文章标签: 漏洞发现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45300786/article/details/115048982
版权

在这里插入图片描述

可以通过路劲来判断tp框架

在这里插入图片描述

tp框架自带漏洞

测试漏洞

在这里插入图片描述
在这里插入图片描述

注入的时候可以用sqlmap,记得注入的时候代入cookie

可以用很sqlmap的 -r 参数
在这里插入图片描述

XSS

在这里插入图片描述
在这里插入图片描述

像admin这种管理员账户,uid(otype)一般都是1或者2这种比较小的数字,那么我们注册新的用户的时候,我们就可以把注册参数的uid(otype)之类的参数加上,并设上值。

在这里插入图片描述

在这里插入图片描述

樱浅沐冰
关注
专栏目录
xiaodi:重庆大学国创创业组优秀项目-笑递
05-02
xiaodi 重庆大学国创创业组优秀项目-笑递, 部分源代码仅供学习参考 版本 这次更新是我结合了工作过程中所学,把代码重构了一遍,使得项目更加pythonic, 因为工程有点大,所以只重构了一部分,但是这部分代码已经...
小迪笔记____
kkkkkllllllll的博客
07-01 4918
小迪笔记
小迪安全-Day2数据包拓展
weixin_55129870的博客
05-13 363
HTTP/S数据包 1.request请求数据包 Request对象用于接收客户端浏览器提交的数据,有五个集合: 1)QueryString:用以获取客户端附在url地址后的查询字符串中的信息。 2)Form:用以获取客户端在FORM表单中所输入的信息。(表单的method属性值需要为POST) 3)Cookies:用以获取客户端的Cookie信息。 4)ServerVariables:用以获取客户端发出的HTTP请求信息中的头信息及服务器端环境变量信息。 5)ClientCerti...
xiaodi_python安全开发简单介绍(21)
qq_45300786的博客
04-04 507
catalog 其实就是编写一些简单的爆破或者扫描的python脚本 单线程 打印1~10,休眠一秒,打印一次,所以就是10秒打印完 多线程 多个进程同时进行,所以很短的时间就打印完了,(这里只有了一秒) 其中一个记录,用python写的爆破FTP的脚本 ...
xiaodi免杀and横向渗透(8)
qq_45300786的博客
03-16 310
随便选个查杀软件,进行查杀 横向渗透 跟cs一样的功能
xiaodi漏洞发现及利用(4)
qq_45300786的博客
03-11 345
如果不是CMS的话,就只能用一些漏扫工具了。如果是CMS搭建的话,可以用CMS漏扫工具(四叶草漏扫工具)。 fuzz 利用字典不断去爆破。
第16天:WEB漏洞-SQL注入之查询方式及报错盲注1
08-03
【SQL注入】是一种常见的网络安全漏洞,发生在Web应用程序中,攻击者通过输入恶意的SQL语句来控制或篡改数据库。本话题主要关注的是在没有直接回显的情况下如何进行SQL注入,特别是通过查询方式和报错盲注技术。 **...
think-pullword:ThinkPHP 分词抽词 扩展包
05-30
think-pullwordThinkPHP 分词/抽词 扩展包 5.1 6.0使用梁厂的产品安装composer require xiaodi/think-pullword使用常规实例化use PullWord\PullWord;class Index{ public function index() { $source = '352净水器...
qpy3_2019-05-27_cn.apk
09-05
用于在android设备上执行python脚本
think-whoops:ThinkPHP 集成 Whoops
05-09
介绍 ThinkPHP 集成 安装使用 composer require snowair/think-whoops:dev-master ...return array( 'app_init'=>array( 'Snowair\Think\Behavior\HookAgent' ), ) 就是这么简单, whoops立即生效了!...
图像与文字的合成
XiaoDi_Liu的专栏
06-28 1455
图像与文字的合成作者:kylin 下载本文示例工程前几天要做一段程序,把文字和位图图像合成并保存为位图文件。但问了好久都没人给一个满意的答复,只好在黑暗中摸索,费了一番功夫,实现了图像与文字的合成,并且可用鼠标拖动文字。现在我把代码贴出,希望能给需要的朋友以帮助。 一、关键函数 1. int SetDIBits( HDC hdc, // 兼容DC的句柄 HBITMAP hbmp, // 兼容位图的
南京工业大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单).zip
10-04
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单)
基于Java开发的智能文件管家设计源码
10-04
该项目是一款基于Java的智能文件管家设计源码,涵盖102个文件,包括29个Java源文件、27个类文件、19个XML配置文件、10个YAML文件、8个列表文件、4个属性文件、4个JAR包文件以及1个Git忽略文件。该系统旨在提供高效便捷的文件管理解决方案。
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动).zip
10-04
基于YoloV8的简单目标检测和跟踪,使用KMNET进行鼠标移动(处理多目标移动抖动,处理鼠标平滑移动)
基于Vue和JavaScript的心旅途个性化推荐旅游平台设计源码
10-04
本项目是一款基于Vue和JavaScript开发的心旅途个性化推荐旅游平台设计源码,整合了513个Java文件、76个PNG图片、70个XML配置文件、62个JavaScript文件、42个Vue组件文件、28个CSS样式文件、22个HTML文件、18个YAML配置文件、16个属性文件、11个Vue模板文件,总计919个文件。平台采用现代化前端技术堆栈,旨在为用户提供个性化的旅游推荐服务。
基于Python的AutoLine自动化测试开源平台设计源码
10-04
AutoLine是一个基于Python的通用自动化测试开源平台,包含了657个文件,涵盖228个PNG图片、209个CSS样式、95个JavaScript脚本、39个Python源代码、21个HTML文件、19个XML文件、14个GIF图片、6个DS_Store文件、5个文本文件、4个Markdown文件。该平台的设计源码由多种编程语言编写,旨在提供灵活高效的自动化测试解决方案。
微信小程序图像裁剪工具_ e-cropper.zip
10-04
微信小程序图像裁剪工具_ e-cropper
基于MATLAB的答题卡识别系统 带一个GUI可视化界面,通过输入答题卡旋转校正,边缘检测,霍夫曼变换检测答题卡填涂区域
最新发布
10-04
【作品名称】:基于MATLAB的答题卡识别系统。带一个GUI可视化界面,通过输入答题卡旋转校正,边缘检测,霍夫曼变换检测答题卡填涂区域 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 传统的阅卷方式为流水线的手工作业方式。这样的方式存在很多的问题,因为很容易受到阅卷者的主观因素的影响,从而产生一定的偏差。所以很多人就讨论如何将人为的因素降低到最低,来确保考生的考试成绩的公平公正和准确。 基于MATLAB的答题卡识别系统。带一个GUI可视化界面,通过输入答题卡旋转校正,边缘检测,霍夫曼变换检测答题卡填涂区域,分割,识别属于ABCD等,通过和实现设置好的标准答案excel对比,从而得出最终分数 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
SQL注入详解:查询方式、报错盲注与实战技巧
`regexp '^xiaodi[a-z]'`则检查字符串是否以'xiaodi'开头;`if(条件, 5, 0)`根据条件决定返回5还是0;而`sleep(5)`会让查询延迟5秒执行,从而通过响应时间判断条件。 理解并掌握这些SQL注入技巧对于安全防护和渗透...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值