- 博客(14)
- 收藏
- 关注
RSS订阅原创 Java序列化与反序列化
什么是序列化和反序列化序列化:指将内存中的某个对象压缩成字节流的形式反序列化:指将字节流转化成内存中的对象重要的类FileOutputStream:是用于将数据写入File或FileDescriptor的输出流FileInputStream:指对文件数据以字节的形式进行读取操作如读取图片视频等ObjectOutputStream:对象转成字节数据的输出到文件中保存,对象的输出过程称为序列化,可实现对象的持久存储。ObjectInputStream :将之前使用 ObjectOutputStr
2021-11-06 16:13:45
133
原创 .git泄露
漏洞简介开发人员在开发过程中遗忘删除 .git 文件夹,导致攻击者可以通过 .git 文件夹中的信息获取开发人员提交过的所有源码。从而导致服务器被攻击沦陷如何访问127.0.0.1/.git 或127.0.0.1/.git/config如果有文件内容返回,则有 .git 文件泄露GitHack是一个测试.git泄露的脚本,git信息泄露危害很大。例如:python2 GitHack.py http://192.168.6.32/.git看到输出后,进入到给出的目录下。...
2021-11-06 14:06:20
781
原创 nginx目录穿越
漏洞原理nginx在配置别名(Alias)的时候忘记加/,则可能实现目录穿越配置中设置目录别名时/files配置为/home/的别名,那么当我们访问/files…/时,nginx实际处理的路径时/home/…/,从而实现了穿越目录 location /file{ autoindex on; alias /home/; }ctfhub afr-2例题尝试在url中加入 /img/ 开了目录访问尝试目录穿越 url后加/img…/...
2021-11-05 14:47:28
1046
原创 web渗透测试
信息收集告诉一个域名信息任务1.找到这个域名的IP地址,mac地址2.找到域名操作系统的版本3.找到域名的数据库版本,PHP版本和中间件信息4.找到这个域名的隐藏端口5.找到这个域名的用户信息漏洞的分析以及工具的使用1、存在敏感目录,找到这个网站的管理员登陆页面御剑、2、爆破这个网站,获取这个网站的管理员用户名和密码Burpsuite、密码字典3、找到这个网站的文件上传漏洞,并上传木马,控制这个网站服务器Burpsuite、中国菜刀(蚁剑)、木
2021-06-28 18:50:05
128
原创 图片木马的制作
1.一张图片,jpg格式 1.jpg2.一句话木马 2.asp<?php eval requset ("value");?>3.cmd: copy 1.jpg/b+1.asp/a 2.jpg使用Notepad++打开可发现,在jpg文件底部有着木马代码
2021-06-27 19:31:10
680
1
原创 XSS攻击——cookie
cookie概述cookie是一些数据,存储于用户电脑上的文本文件中。当web服务器向浏览器发送web页面时,在连接关闭后,服务器不会记录用户的信息。cookie的作用就是用于解决“如何记录客户端的用户信息”。当用户访问web页面时,用户名可以记录在cookie中。在用户下一次访问该页面时,可以在cookie中读取用户访问记录。cookie以键值对形式存储。如username=baixiaomao;当浏览器从服务器上请求web页面时,属于该页面的cookie会被添加到该请求中。服务器端通过
2021-06-23 20:09:36
1878
原创 XSS攻击
原理跨站脚本攻击(Cross-Site Scropting Attack)指的是攻击者向网络的web页面插入恶意HTML代码(部分JavaScript代码也行),嵌入其中的HTML代码会被执行,从而达到恶意用户的特殊目的。XSS攻击则是将目标指向了web业务系统所提供服务的客户端,攻击者通过在链接中插入恶意代码,可以轻易盗取用户信息。XSS攻击类型反射型XSS攻击,存储型XSS攻击和基于DOM的XSS攻击反射型XSS攻击反射型XSS攻击是用户将恶意攻击代码通过浏览器传给服务器,随后再反射回浏览器执
2021-06-23 19:47:04
131
原创 SQL limit用法
sql语句中的limit用法limit y 读取y条数据limit x,y 跳过x条数据,读取y条数据limit y offset x 跳过 x条数据,读取y条数据select* from student limit 10 …检索前10行的数据select* from student limit 5,10 …检索从第6行开始到第10行的数据select* from student limit 4,-1 …检索第5行数据后面的所有数据select* from student lim
2021-06-21 19:17:01
688
原创 中间件学习
中间件一个网站源码的执行是无法直接在服务上执行的,需要一个“中间软件”来协调源码和服务器之间的关系,让服务器能够间接的执行源码。中间件是服务器上负责解析http请求的一组应用程序,负责接收并解析http请求数据包,在服务器上找到数据包所请求的文件后,将其返回给客户端,如果http数据包所请求的是一个动态脚本文件,如php等,中间件就要靠CGI与脚本语言解析软件进行交互,处理好动态脚本文件后,再将处理后的文件其返回给浏览器。说白了,中间件就是服务器上web端口(通常为80端口)的一个翻译官,负责
2021-05-27 19:57:26
137
原创 bugku web 3.4
两题均是用get或post方法得到的参数what 再将what传给what,在得到flag的值。问题是如何得到get与post方法的参数?web3 中 直接在URL中输入即可web4 中post请求不能直接在URL直接输入,需要使用hackbar来输入web4$what=$_POST['what'];echo $what;if($what=='flag')echo 'flag{****}';web 3$what=$_GET['what'];echo $what;if($wh
2021-05-17 20:53:58
61
原创 HTTP学习笔记
HTTP学习笔记HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。HTTP工作原理HTTP协议工作于客户端-服务端架构上。浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。Web服务器根据接收到的请求后,向客户端发送响应信息。HTTP默认端口号为80,但是你也可以
2021-03-21 15:47:03
154
原创 HTML学习笔记 css 图像 表格
HTML学习笔记 css 图像 表格1.HTML样式 cssCSS 是在 HTML 4 开始使用的,是为了更好的渲染HTML元素而引入的.CSS 可以通过以下方式添加到HTML中: 内联样式- 在HTML元素中使用"style" 属性 内部样式表 -在HTML文档头部 <head> 区域使用<style> 元素 来包含CSS 外部引用 - 使用外部 CSS 文件内联样式当特殊的样式需要应用到个别元素时,就可以使用内联样式。 使用内联样式的方法是在相关的标签中使用
2021-03-21 15:06:26
167
原创 html学习笔记
<html><head><title>页面标题</title></head><body><h1>这是一个标题</h1><p>这是一个段落。</p><p>这是另外一个段落。</p></body></html>
2021-03-20 16:07:06
68
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人