咸鱼的博客

写在前面

讲在前面命令行注入漏洞的存在，一般需要web应用有调用系统可执行命令的函数，并且输入参数是可控的，这时候如果拼接了注入命令，就可以进行非法操作了。本人实验所用操作系统为kali linux，在web应用中会调用bash命令行工具进行操作。（在Windows中则是调用DOS命令行）一、Low1.1 服务器代码if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // De

讲在前面暴力破解本身是一个技术含量比较低的手段，即通过穷举所有有可能的字段进行尝试，找到一个正确的结果，从而达到破解的效果。我个人觉得，暴力破解的难点在于没有一份强大的字典文件去遍历，其次是遍历的时间一般会比较长，在实战中暴力破解一般会是个最差解。一、Low1.1 先看代码：if( isset( $_GET[ 'Login' ] ) ) { // Get username $user = $_GET[ 'username' ]; // Get password

本文仅记录我配置服务器的过程中各种杂七杂八的东西，仅供参考。一、环境系统：CentOS 8服务器：Apache 2.4.37二、下载先直接su进入root，免得后面一次次sudo和输密码。apache安装教程其他帖子很详细，这里简短提一下。# 安装Apache，-y意思是对所有的问题都回答yyum install httpd -y# 启动服务（还有设置开机自启的命令，懒得查先）...

一、序言很久之前就听过爬虫，但都没有自己亲手去写过，前几天有朋友突然来问我会不会爬虫，并想要我帮他爬点东西，我也就趁此机会来尝试一下，便接下这个任务，实操一下爬虫这个东西。任务：抓取大众点评某个商户的所有评论众所周知，程序员写代码的第一步就是打开某大型同性交友网站，我也先百度查了一些已有的文章了解一下，发现写这个爬虫主要的难点在于：IP被封评论的内容被加密时不时跳出来的验证码对...