- 博客(20)
- 收藏
- 关注
RSS订阅原创 web安全之SQL手工注入漏洞测试
首先order by查询了有几列数据,然后union看下哪几列数据可以显示出来,然后将能显示的替换成注入语句就可以了。发现有注入点,即id被代入执行。3.了解MySQL的数据结构;4.了解字符串的MD5加解密。1.掌握SQL注入原理;2.了解手工注入的方法;1.进去后出现以下界面。
2024-07-18 17:29:56
617
1
原创 文件上传漏洞:upload-labs靶场安装和实践
当安装好phpstudy之后,在网址栏输入:localhost或127.0.0.1,如果没问题,就将下载好的 upload-labs文件复制到phpstudy的WWW目录下。此时,输入网址:127.0.0.1/upload-labs即可进入靶场但是,点击第一个任务时,出现问题这应该是因为,可能当时使用的是剪切,不是复制。这可能会造成对文件的读写权限出现问题。重新将upload-labs文件复制到phpstudy的WWW目录,问题解决了。
2024-07-09 17:19:29
365
原创 信息收集-资产监控扩展之Github监控
即Proof of Concept,是业界流行的针对客户具体应用的验证性测试,根据用户对采用系统提出的性能要求和扩展需求的指标,在选用服务器上进行真实数据的运行,对承载用户数据量和运行时间进行实际测算,并根据用户未来业务扩展的需求加大数据量以验证系统和平台的承载能力和性能变化。在信息安全里,POC为漏洞验证程序,功能为检测漏洞是否存在。poc和exp(全称Exploit)的区别就是,poc是漏洞验证程序,exp是漏洞利用程序。针对。
2024-06-28 22:43:35
561
原创 Python脚本学习(一)
Python 爬虫是指利用 Python 编程语言编写的程序,用于自动化地从互联网上获取信息的工具。这些程序被称为爬虫(也叫网络爬虫、网络蜘蛛、网络机器人等),可以模拟人类在网页上的浏览行为,访问并提取网页内容。通常通过发送 HTTP 请求到目标网站,然后解析网页内容,提取感兴趣的信息,并进行进一步的处理和分析。爬虫可以用于各种目的,比如数据采集、信息检索、监控网站变化、网站内容分析等。Python 爬虫通常使用第三方库来简化网络请求和数据解析的过程,其中最常用的爬虫库是requests。
2024-05-27 21:59:13
410
原创 wireshark使用
在Wireshark中,POST请求会显示为“POST /path/to/resource HTTP/1.1”,并且可以在HTTP协议层的“Data”或“Payload”字段中查看到提交的数据内容。:用于从服务器获取资源。在Wireshark中,PUT请求会显示为“PUT /path/to/resource HTTP/1.1”,并且可以在HTTP协议层的“Data”或“Payload”字段中查看到更新的数据内容。HTTP协议中,除了GET方法外,还有其他几种常用的请求方法,每种方法都有其特定的意义和用途。
2024-05-23 22:18:02
1921
3
原创 Python脚本编写练习(一)
在输入正常的情况下,就来到了else条件,通过循环range(0,len(items),size)以第一步计算的每组长度作为步长,从零开始遍历items,通过切片操作items[i:i+size]得到每组数据(items中从索引i到i+size),并将这组数据添加到group列表中。在Python中,文件通常是以特定的模式('r' 表示读取,'w' 表示写入,'a' 表示追加,等等)打开的。Python 标准库包含大量模块!模式打开一个文件用于读写(文件指针在文件开头),但如果文件不存在,它会创建该文件。
2024-05-22 17:28:40
784
1
原创 牛客网Python入门【10内置函数】
List.index("Niu", 0, 3) 还可以这样使用,如果不想使用默认设置,即从零到末尾查找,也可以加入参数,如从下标为0到3进行查找所选元素索引。用set函数将输入的字符串记录为一个集合,以到达去重的目的,请输出这些名字创建的集合,输出的时候使用sorted函数对集合排序。有点经验,对于字符串的内置函数,应当都是str_input.function()这样用,而不是函数包字符串。还要注意审题,这里要求输入一个字符串,因此不用 split()函数分割为列表,里面的元素为字符串。
2024-05-19 22:12:15
495
1
原创 牛客网Python入门【09字典】
在 Python 中,当你使用这样的循环时,i是在每次迭代中从得到的当前元素的引用(在这种情况下,它是字典的键)因此输出时,i不加引号。此外,并且本体中用到sorted()函数,此函数不会改变原本的字典,但如果使用dict.sort()编写,那么字典本身就是经过默认升序的新字典。
2024-05-19 17:06:32
914
1
原创 牛客网Python入门【08元组】
元组(tuple)是 Python 中另一个重要的序列结构,和列表类似,元组也是由一系列按特定顺序排序的元素组成。元组也可以看做是不可变的列表,通常情况下,元组用于保存无需修改的内容。在这个元组中,有多种类型的数据,包括整形、字符串、列表、元组。另外,我们都知道,列表的数据类型是 list,那么元组的数据类型是什么呢?可以看到,元组是 tuple 类型,这也是很多教程中用 tuple 指代元组的原因。
2024-05-16 22:16:43
381
原创 牛客网Python入门【06条件语句】
要求输入0 或者 1,输出"Hello World!"或者"Erros!这是最简洁的解决方法。或者使用bool()函数:当bool()函数没有参数时,它返回False;当bool()函数有一个参数时,它返回该参数的布尔值。对于数字类型,非零值被视为True,而0(零)被视为False;对于字符串,非空字符串被视为True,而空字符串''被视为False。因此,一定要用int(inout())才能正确输出,因为input()函数默认类型为字符型str,所以在进行bool()时,只要有输入就会返回True。
2024-05-15 20:22:35
465
原创 牛客网Python入门【04列表】
要求输入一行多个字符串表示同学名字,最少不少于3个名字,以空格间隔,使用三次pop函数删除末三位,输出删除后的完整列表。Python 列表 pop()函数使用详解_list.pop-CSDN博客#直接pop三次#for循环#while循环i=3i-=1if i<1:break如果不使用pop()函数del name[-3:] #截取name中从倒数第三个到最后一个元素的子列表#对字符串name进行切片操作:name[起始;终止;步长]
2024-05-13 21:32:21
1572
原创 牛客网Python入门【03字符串】
宏定义是 C 和 C++ 中的一种预处理器指令,用于在编译代码之前替换文本。宏定义可以简化代码,提高可读性,以及实现一些基本的代码重用。在宏定义中,可以为一些常用的代码片段或者表达式定义一个名称,当在代码中使用这个名称时,预处理器会自动将其替换为相应的代码片段。// 定义一个简单的宏,用于计算两个数的平方// 宏调用return 0;在这个例子中,定义了一个名为SQUARE的宏,它接受一个参数x,并返回x的平方。当在代码中调用时,预处理器会将其替换为,然后编译器会将其视为(5 * 5)
2024-05-11 22:37:33
468
1
原创 牛客网Python入门【02类型转换】
要求利用强制类型转换将小数转变成整数C语言实现小数化整数或者不能使用 int b=scanf("%f",&a);直接赋值,这是因为:在C语言中,scanf()函数的返回值是成功读取的参数数量,而不是输入的值本身。因此,如果你写成b将会得到scanf()的返回值(0/1:成功读取或失败),而不是输入的浮点数值。除了强制类型转换外,还可以使用取整函数来将浮点数转换为整数。在C语言中,常见的取整函数有round()ceil()和floor()。
2024-05-11 17:03:06
829
1
原创 牛客网Python入门【01输入输出】
在开始之前,我们复习一下C语言中的数据类型:而Python 中的变量不需要声明。每个变量在使用前都必须赋值,变量赋值以后该变量才会被创建。在 Python 中,变量就是变量,它没有类型,我们所说的"类型"是变量所指的内存中对象的类型。
2024-05-09 18:11:59
1796
原创 Python循环结构(猜数游戏)
当我们写一个猜数游戏时,重点在于比较两个数是否相等。是一个无限循环的结构。在 Python 中,while关键字后面的表达式为真(True)时,循环会一直执行。因为这里的表达式是True,所以这个循环会一直运行下去,除非在循环内部遇到了break语句。因此猜数游戏可以将while结构和if判断语句结合起来实现。PS:input()函数默认输出为字符串类型,因此需要强制转化为int类型。
2024-05-08 22:20:22
367
原创 Kali linux 更新软件源
在kali更新软件源时碰到的一些小问题:Leafpad命令不可用;Kali终端输入密码不显示;软件源签名出现问题(密钥过期或被更改)已解决
2024-05-07 10:48:26
555
1
原创 windows 2003 IIS漏洞复现
新建网站的具体步骤如下:我们得到一个网站,地址为win 2003的ip地址。可以访问到自建的网站将ip地址赋予相应的域名,即通过test12138.com也能搜索到网站。在本机的host文件中修改,使得ip地址和域名对应,那么这两种方式都能进入本网站。在cmd命令中运行nslookup test12138.com验证DNS解析是否成功,即,IP地址和域名是否对应。存在问题:以下结论还无法通过实验体现,并且修改域名不成功,无法通过域名访问网站。
2024-05-06 21:27:45
352
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人