- 博客(57)
- 收藏
- 关注
原创 JAVA中的for-each(增强型for循环)
循环(也称为增强型for循环)和数组处理结合使用时,它可能类似于Lambda表达式或流(Stream)API中的上下文。当使用流(Stream)API处理数组或集合时,你可能会遇到这样的语法。但请注意,在Lambda表达式中,这样的语法在标准的Java代码中并不直接存在,但根据上下文,它可能与Lambda表达式、流API或增强的。,它并不是有效的Java代码片段。),因为它需要一个可迭代的集合或数组(对于基本类型,需要包装类型如。一起使用的,而是与参数一起使用的。对于对象数组或集合,我们可以使用增强的。
2024-07-07 21:16:50 381
原创 从零开始学JAVA-数组和方法篇
Java中的数组是一种基础的数据结构,用于存储相同类型的有序元素集合。方法则是一段实现特定功能的代码块,可接受输入参数并可能返回结果。提示:以下是本篇文章正文内容,下面案例可供参考方法(method)是将具有独立功能的代码块组织成为一个整体,使其具有特殊功能的代码集。1.方法必须先创建才可以使用,该过程成为方法定义;2.方法创建后并不是直接可以运行的,需要手动使用后才执行,该过程成为方法调用;方法定义格式方法名() {//方法体;范例mayikt() {//方法体;
2024-06-22 22:26:34 793
原创 pycharm 安装库
pip install 模块名 -i http://pypi.douban.com/simple --trusted-host pypi.douban.com。清华:https://pypi.tuna.tsinghua.edu.cn/simple。阿里:http://mirrors.aliyun.com/pypi/simple/中国科学技术大学:http://pypi.mirrors.ustc.edu.cn/豆瓣:http://pypi.douban.com/simple/1、打开pycharm;
2023-08-14 18:42:09 2719
原创 二进制、十进制相互转换
1100 0000转为十进制的数值为:128+64=192。数值大于或等于,二进制数则为1,否则,为0。使用计算器算出一样的答案。列如:十进制数为202。
2023-07-05 14:30:04 420
原创 攻防世界 easyre-xctf
拖进IDA,静态分析,shift+F12查看字符串,d_0n3_4nd_tw0}猜是flag的一部分。转到汇编代码阶段,能看到是part2,所以还有一部分没给出来,function。对数据进行转为十六进制,R。分析汇编就知道数据是放在栈上的,以小端序存储方式存储(高位字节放高地址,低位字节放低地址)。最后flag{UPX_4n_d_0n3_4nd_tw0}直接搜索part,进入汇编代码阶段,能看到。脱壳,命令upx -d 路径。查壳,发现是UPX壳。
2023-05-22 17:02:29 957 1
原创 CSRF 跨站请求伪造
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。,并保留了登录凭证(Cookie)。。向a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求。a.com以受害者的名义执行了act=xx。
2023-05-21 17:12:03 674
原创 文件包含函数
将代码传入文件,从而直接执行文件中的代码通常文件包含漏洞产生于文件包含函数LFI:Local File Inclusion,本地文件包含漏洞,大部分情况下遇到的文件包含漏洞都是LFIRFI:Remote File Inclusion,远程文件包含漏洞(默认为On) ,规定是否允许从远程服务器或者网站检索数据(php5.2之后默认为Off) ,规定是否允许远程文件。
2023-05-21 17:10:46 1265
原创 SSRF-服务器端请求伪造
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
2023-05-21 17:08:54 626
原创 信息收集思路
💡 通过观察页面`URL地址`的变化 通过`F12开发者工具`,查看网络请求 通过`抓包工具`查看网络请求,来判断是否存在`302重定向` 同样也可以查看流量信息,分析其中的隐藏数据。💡 例如`index.php.bak`、`www.zip` 、`www.tar.gz` 等等。💡 使用`F12` 、`Ctrl+U` 、`view-source:` 查看前端源码。💡 通过`抓包工具`或`F12开发者工具`或`EditThisCookie`进行分析。💡 使用`抓包工具`或`F12开发者工具`进行分析。
2023-05-21 17:07:18 490
原创 攻防世界-fileinclude
第二:构造过滤payload:php://fil1ter/=con1vert.ba1se64-e1ncode/re1source=check.php。过滤提示没了,证明绕过成功。发现是对convert.base64-encode进行过滤。发现被过滤了,黑名单过滤。第三:burpsuite抓包。
2023-05-21 16:52:58 159
原创 AWD竞赛
AWD: Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。简述:(1)、一般分配Web服务器,服务器 (多数为Linux) 某处存在flag (一般在根目录下);(2)、可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析flag在主办方的设定下每隔一定时间刷新一轮:(3)、各队一般都有自己的初始分数;(4)、flag一旦被其他队伍拿走,该队扣除一定积分:(5)、扣除的积分由
2023-05-14 21:47:17 654
原创 系统、服务日志分析
对于日志的安全分析,可能会有如下几个问题日志中POST数据是不记录的状态码虽然表示了响应状态,但是存在多种不可信情况,如服务器配置自定义状态码。(2)、作为网站管理运维等人员必须实时的了解服务器的安全状况,避免造成不必要的损失应急事件中的分析取证。(3)、当已经因为黑客攻击造成损失时,可以通过日志分析等各种应急措施尽量挽回损失。日志分析工具,记录log脚本。感知可能正在发生的攻击,从而规避存在的安全风险。(1)、网站安全自检查,了解服务器上正在发生的安全事件。第三:日志分析中存在的难题。
2023-05-14 21:35:03 195
原创 攻防世界 unseping
第六、想要执行cat flag_1s_here/flag_831b69012c67b35f.php来查看flag,cat,flag,php都可以用双引号绕过,空格用${IFS}绕过,/要用printf及$()绕过。令$arg=c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp。第四、发现一个名为flag_1s_here的文件夹,于是再ls flag_1s_here,但是由于flag被过滤,所以又要用引号绕过。
2023-05-12 22:09:45 317
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人