东隅的博客

这要看它起到的作用是什么，而要说它起到的作用是什么我们先要知道是谁在遵守servlet规则，答案是java web服务器和开发java web的程序员，java web的服务器有很多种，除了tomcat还有jboss、weblogic等，大家如果都实现这套servlet接口，首先带来的好处就是我的java web项目换个java web服务器照样运行。tomcat是java的web服务器之一，是一个轻量级的web服务器，遵守servlet的规则。|-----web.xml(注册servlet)

使用Java反射机制，我们可以在程序运行时获取要创建的类的Class对象，然后使用Class对象的newInstance()方法来动态地创建对象。注解框架：在注解框架中，我们可以使用注解来标注Java类、方法或属性，然后在运行时使用Java反射机制来获取这些注解，并根据注解中的信息执行相应的操作。在Java中，创建一个对象通常需要在代码中使用new关键字，并指定要创建的类的名称和构造函数的参数等信息。动态代理需要使用Java反射机制来获取被代理对象的信息，并在代理对象中动态地生成相应的方法。

什么是驱动？驱动是指计算机系统中的一种软件程序，它用于控制硬件设备的操作。每个硬件设备都需要与操作系统进行通信，而操作系统需要知道如何与每个设备进行通信，这就是驱动程序的作用。什么是jdbc？JDBC 是 Java 数据库连接的标准，它是 Java SE 平台的一部分。它提供了一种标准的方法来访问各种关系型数据库，如 MySQL、Oracle、Microsoft SQL Server 等。JDBC 通过驱动程序实现与各种不同类型的数据库的连接，开发者需要使用不同的驱动程序来连接不同类型的数据库。

假设您有一条1兆比特每秒（Mbps）的宽带连接，这意味着您的网络连接的带宽为1 Mbps，即该连接可以支持每秒传输1兆比特的数据。同样地，在计算机网络中，网络连接的速率也可能受到各种因素的影响，例如网络拥塞，信号干扰，路由器性能等。即使您的生产线可以每小时生产1000个面包，但是由于您的货车带宽限制，每次只能运输100个面包。假设您是一名面包店的老板，您的面包生产线每小时可以生产1000个面包（速率），您的货车每次可以装载100个面包（带宽）。

你可以把它看成一种协议，它也可作为工具在开发中链接端口测试端口测试，更重要的是可以用来远程登录web服务器，类似ssh。telnet是远程控制web服务器的主要方法之一。telnet是TCP/IP协议族里的一员，是位于OSI模型的第7层---应用层上的一种协议。这里先撇开一下写一下这里浏览器和服务器建立连接的流程,算是目前我对网络的愚见。默认情况下windows的telnet服务是关闭的，需要我们手动去开启。以下是用python写的简单服务器。这里我是直接在vscode跑的。

Referer:127.0.0.1x-remote-IP: 127.0.0.1x-forwarded-for: 127.0.0.1x-remote-IP: 127.0.0.1x-remote-ip: 127.0.0.1x-client-ip: 127.0.0.1x-client-IP: 127.0.0.1X-Real-IP: 127.0.0.1client-IP:127.0.0.1x-originating-IP:127.0.0.1x-remote-addr:127.0.0.1X-Fo

SSRF漏洞理解进阶&SSRF+gopher打内网（redis、mysql、fastcgi）& SSRF相关基础概念。首先要了解几个概念：内网&外网代理curlgopher、ftp、dict伪协议file_get_contents()、 fsockopen() 、curl_exec() 等函数。

一开始我还以为是我设置错了什么东西，或者机械键盘的锁win键功能，后来想起来它自带一个暗影精灵的软件用来加速游戏，里面有锁win键的功能。点击“恢复”以后，他会变成“手动增强”按钮，这个时候把“禁用windows热键”取消勾选即可。进入OMEN GAMING HUB，点击优化器->配置增强程序。

无数字字母rce的知识点、poc、exp（取反、异或、自增、临时文件）

如eval()、assert()、``、system()、exec()、shell_exec()、passthru()、 escapeshellcmd()、pcntl_exec() 等。(黑哥那个挑战2 http://hi.baidu.com/hi_heige/blog/item/505b2828da5b18f499250a9b.html)文件包含函数在特定条件下的代码注射，如include()、include_once()、 require()、require_once()。h=phpinfo() 即。

解决vs code终端无法执行命令的问题。最近在学flask，它需要利用命令行创建虚拟环境，而我比较喜欢用vs code，在执行activate命令的时候不能执行，在此记录一下解决方法在快捷方式这里目标后面添加 –disable-gpu，-前面的空格不能少。

本地搭建靶站进行漏洞复现和防御（SQL注入、文件上传、XSS漏洞的多种形式）。本地搭建靶站进行测试，旨在提高自己的开发能力以及对漏洞的理解。这个靶站其实可以说是我出的第一道web题吧，里面藏了三个flag，拼接为一个完整的flag三个flag的位置分别在：数据库中、admin用户的cookie中、网站源码文件flag.php中，分别对应sql注入漏洞、xss漏洞、文件上传漏洞，我想出第四个flag部分，对应csrf漏洞。

PHP变量覆盖漏洞试验随笔

typora光标异常

PHP escapeshellarg()+escapeshellcmd() 导致的漏洞

S7COMM协议分析

一 Sniper（狙击手模式）狙击手模式使用一组payload集合，它一次只使用一个payload位置，假设你标记了两个位置“A”和“B”，payload值为“1”和“2”，那么它攻击会形成以下组合（除原始数据外）：attack NO. location A location B 1 1 no replace 2 2 no replace 3 no replace 1 4 no replace 2 二Battering

RCE无参数绕过：localeconv()函数返回的是一个数组，其中第一个元素是一个‘ . ’，呢就可以进行一些操作，比如scandir(.)查看当前目录文件，那么他是要配合current()函数的（current()函数返回当前数组的第一个单元）如图示：那么可能会读出：然后就是想办法去读取flag.php1>>利用array_flip()函数，作用是调换数组的键和值，那么flag.php就会变成键，然后用array_rand()函数随机...

在做一个buu的题目的时候，发现原先理解的504b0304和504b0102后面跟的都是0900，但是当我把第二个0900改成0000后，又能直接解压出来。这让我感到很迷惑，题目是伪加密，这文件结构怎么是真加密？又上网查了几篇博文，其中有很多这么说：但是按照这种说法，那这个伪加密的题目不就是真加密了？可以做个实验，把这个压缩包直接拖进破解zip的软件里，竟然发现被识别为可以破解但是奈何压缩包本来就没有加密，这样绝对是不可能破解出来的，你还会说这个密码怎么这么复杂。...

验证码业务逻辑漏洞

ffifdyop绕过MD5进行sql注入

git学习

hh='25'sourceStr='yingtanshi_yujiangxian_speaker25_gushi_01:la4 gen1 si4 po2 yang2 gie1 yin2,kuai3 wai1 li1 cuo1 xin1 jian4 ge1 cang1 yi4。ai3 liang4 nian2,cui1 xiang1 ha4 ye3 guo1 di4 man3 hao4,qu3 le1 ca1 yang1,hai3 yang3 ju1 da1 nie2,hai1 qu1 le1 yi1 g.

可以结合ctfshow web94strpos(string,find,start)有三个参数，string是被检查的字符串，find是要被搜索的字符串，start是开始检索的位置，从0开始。该函数返回查找到这个find字符串的位置，那么如果是0位置，就值得注意了比如：if(strpos('0104','0')){ echo 'yes';}else{ echo 'no';}那0101里面肯定存在0对吗，但是因为返回的位置是0，那么在if判断中相当于不存在，那返回的结果反

#1、文件暴露 GIT git可以说是当今最受欢迎的版本控制/版本管理软件了，很多基于git的云端仓库都提供了免费的托管服务,甚全有不少还支持免费私有仓库，如bitbucket和国内的gitosc(开源中国)等。 关键文件 git在初始化项目的时候,会在项目的根目录(可用git rev-parse --show-toplevel查看)创建一个名为.git的隐藏文件夹,里面包含了本地所有commit的历史记录.如果无意官将这个日录置于WEB的路径下让用户可以访问,那么也就泄露了几乎所..

学cookie的时候，回想之前学的日期和时间，发现有点水过地皮湿，决定还是把那一堆日期和时间函数和用法大致整理一下1-mktime( )将一个时间转换成时间戳括号里面填数字，用逗号分开，依次是时分秒月日年2-date( )可以用于格式化，可以和mktime()一块用，大致是类似date(“格式化字符”，mktime( ) )这里说一下，date( )函数第二个时间戳，可以直接写时间戳，也可以用mktime，甚至可以写一个值为时间戳的变量，也可以和strtotime()函数配合3-time( ).

常量与变量一样，都是用来保存数据的。是一种在程序运行当中，不可改变的量（数据）常量一旦定义，通常数据不可改变（用户级别) 定义形式： 使用函数：define("常量名"，常量值)； const 常量名=值（5.3以后才有） 常量名字的命名规则 常量不需要使用“$”符号，一旦使用系统就会认为是变量 常量的名字组成由字母、数字和下划线组成，不能以数字开头 常量的名字通常是以大写字母..

预定义变量：系统定义的变量，都是数组，比如：$-GET：获取所有表单以get方式提交的数据$_POST：保存post方法提交的数据$_REQUEST：get和post提交的都会保存$_GLOBALS：PHP所有的全局变量$_COOKIE:ciikie会话数据 可变变量：如果一个变量保存的值刚好是另一个变量的名字，那么可以直接访问这个变量得到另一个变量的值，再变量前面朵加一个“$” $a="b";$b="bb";echo $$a 变量传值：姜一个变量赋值给另一

# 前期准备：1、安装git2、安装node.js3、github注册和仓库建立(这个不讲）4、文本编辑器安装（sublime、vs code等都可以）这里一步步来，先说git的安装配置，这是比较简单的，打开浏览器搜索“git for windows”进入如下界面，点击download下载,下载链接放在这里：Git for Windowshttps://gitforwindows.org/安装过程只有两个地方需要注意：1、这里关于编辑器的选择，我选择了vs code2

引入音频用<audio>标签，和<img>一样也是替换元素，使用方法也是差不多的（src表示路径）。不过他是成对出现的。音视频文件引入时，默认情况下是不允许用户操作的，如果允许，则加入"controls"属性，这个属性并不需要赋值，写上就可以了，写上以后网页会出现播放器。另外"autoplay"属性表示音频文件自动播放，但是目前大部分浏览器都不会对音频自动播放，容易把用户吓到，不过用户如果点击了播放，他就会自动播放了，如果真要强制自动播放，要使用js等其他技术手段。"loop"属性表

html10-20这是我的第一条博客，想到什么就写什么吧。先说一下h5的基本架构吧。首先是文档声明，在vs code里按！就可以出来。然后是依次是根标签，这些都是成对出现的，也有很多自结束标签比如。是网页的可见主体。里也分等块元素，其中像一样只能有一个，而可能有多个。有点乱，改天再重新整理。然后说一下路径规则。适用于网页的超链接，也适用于图片的超链接，我觉得这里用的可能也是一种相对路径吧？如果要引用的东西和在写的文件在一个文件夹里，就只写./，vs code会给出选择。如果包括在上层文件夹，就写…/，