![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
信息安全
文章平均质量分 84
s0ngd0ck
摆烂摆烂摆烂!!!!
展开
-
基本知识点cookie&session
这个直接翻译又叫做饼干,对于这个你们肯定不陌生。Cookie是保存在客户端的纯文本文件。比如txt文件。所谓的客户端就是我们自己的本地电脑。当我们使用自己的电脑通过浏览器进行访问网页的时候,服务器就会生成一个证书并返回给我的浏览器并写入我们的本地电脑。这个证书就是cookie。通俗点讲就是我们在浏览网页的时候,服务器给的我们一个身份令牌,而且这个身份是唯一的,没有人和你一样,你拥有了这个身份,服务器才能认识你。原创 2022-10-18 00:58:41 · 81 阅读 · 0 评论 -
SQL注入进阶篇(一)
信息搜集阶段:利用内置函数搜集信息数据获取阶段:通过语句查询找到关键的内容,或通过暴力破解(比如遍历ASCII码来猜测)提权阶段:利用本身数据库的权限,或读写文件提权在我们不知道任何信息的前提下,可以整理以下思路步骤,通过information_schema中内置的函数来引出有用的信息SELECT schema_name from information_schema.SCHEMATA #查库。...原创 2022-08-04 09:28:19 · 1118 阅读 · 3 评论 -
HVV蓝队之入侵排查
众所周知,蓝队——值得就是防守方,红队——指攻击方。在HVV的时候,红方就不惜一切手段打进去,而蓝方就是维护防守设备的状况。接下来说说蓝方的各方面安全排查,思路不限。在操作系统上来分我们可以分为Windows系统、Linux系统,所以需要确定相应的系统进行排查。...原创 2022-07-21 11:08:30 · 1887 阅读 · 0 评论 -
SSRF(服务器端请求伪造)--原理&绕过&防御
SSRF漏洞形成的主要原理。原创 2022-07-17 23:26:46 · 1505 阅读 · 1 评论 -
渗透测试之文件包含漏洞&利用姿势
文件包含漏洞的分类大体可以分为:本地文件包含和远程文件包含。顾名思义,引用本地文件,利用inchude包含函数包含本地(服务器)文件。什么是动态变量?利用协议读取源代码截断%00这里假设漏洞代码为 长度截断漏洞代码演示 与上面原理差不多,在1.txt中写下实例: php://实例 如果具有一定的写入权限,POST 写入一句话木马...原创 2022-07-14 13:52:47 · 1122 阅读 · 2 评论 -
DVWA简介及安装
dvwa下载链接https://github.com/digininja/DVWA/archive/master.zipPHPStudyhttp://phpstudy.php.cn/download.html这个是集成了很多服务环境,模拟一个服务器的环境我这里下载的是2018版的,没啥原因,就是觉得这个稳定所以就没换 这个装的话只要确认,下一步,无脑安装就行将压缩包解压当前目录就可以得到文件看到这个面板,点击其他选项菜单>>>网页根目录 将解压的整个文件复制到这个WWW文件夹下 找到config文原创 2022-07-12 17:51:45 · 2609 阅读 · 1 评论 -
web安全---了解文件上传漏洞(建议收藏)
言归正传,来了解一下什么是文件上传漏洞 注:一般的,我们上传一个一句话木马文件后,我们需要知道文件的位置才能进行一个链接,所以就需要知道文件的回显位置。如果站点使用使用cms(网站内容管理系统)搭建的,则可以上网查询该cms的poc和exp。 如上图所示,就是常用的一个前端效验javasrcipt的一段代码。 以下是俺自己整理的绕过姿势(CTF用的多)这里为了快速的一个了解,就简单的说一下原理,主要还是绕过姿势,都是干货呢!!!.htaccess绕过 绕过姿势payload这一原创 2022-07-11 15:28:27 · 405 阅读 · 1 评论 -
渗透知识之登入思路
目录1.登入界面 1.1账户密码明文传输 1.2任意用户注册1.3 短信&邮件轰炸绕过原创 2022-07-02 17:13:30 · 358 阅读 · 0 评论 -
web安全---RCE(远程命令/代码执行)原理及DVWA漏洞演示
简介RCE为两种漏洞的缩写,分别是"远程命令/代码执行",攻击者可以远程命令注入系统命令或者代码,从而拿下目标服务器RCE漏洞形成远程系统命令执行(简称命令注入)是一种注入漏洞。攻击者构造payloads让受害者操作系统执行该命令。当Web应用程序代码包含操作系统调用并且调用中使用了用户输入时,才可能进行OS命令注入攻击。这时候,用户提交的系统命令会直接在服务器中执行,并返回。命令注入漏洞可能会出现在所有让你调用系统外壳命令的语言,如c,python,php等。注:命令注入并..原创 2022-05-20 01:18:22 · 4261 阅读 · 0 评论 -
Google搜索语法(常用篇)
Google是一款十分强大的搜索引擎,黑客们常常借助它搜索网站的一些敏感目录和文件,甚至可以利用它的搜索功能来自动攻击那些有漏洞的网站;而有些人可以通过搜索把某个个人的信息,包括住址、电话号码、出生年月等都可以搜索出来;当然我们在日常的生活中正确的借助Google搜索也可以更加高效的找到我们需要的东西。是信息收集不可或缺的工具目录基本逻辑语法(常用)AND:包含两者OR:满足一个就会显示"":不可分割GOOgle常用的搜索语法Site:找到与指定网站有联系的URL。fi..原创 2022-05-18 00:12:33 · 6787 阅读 · 0 评论