- 博客(14)
- 收藏
- 关注
RSS订阅原创 javascript
在 JavaScript 中,对象是王。如果您理解了对象,就理解了 JavaScript。在 JavaScript 中,几乎“所有事物”都是对象。布尔是对象(如果用 new 关键词定义)数字是对象(如果用 new 关键词定义)字符串是对象(如果用 new 关键词定义)日期永远都是对象算术永远都是对象正则表达式永远都是对象数组永远都是对象函数永远都是对象对象永远都是对象所有 JavaScript 值,除了原始值,都是对象。JavaScript 原始值原始值指的是没有属性或方法的值。
2020-09-18 18:16:48
78
原创 python脚本
脚本声明由于Python源代码也是一个文本文件,所以,当你的源代码中包含中文的时候,在保存源代码时,就需要务必指定保存为UTF-8编码。当Python解释器读取源代码时,为了让它按UTF-8编码读取,我们通常在文件开头写上这两行:#!/usr/bin/env python#-- coding:utf-8 --或者#coding:utf-8第一行注释是为了告诉Linux/OS X系统,这是一个Python可执行程序,根据usr/bin/env路径去找python的运行程序来运行,Windows系统
2020-09-18 18:14:10
123
原创 每天五道题
2020/9/18第一题githacker首先进入文件夹使用格式 python GitHack.py http://XXXXXXXX/ .git/使用inex.php,robots.txt,出了,起飞,直接githacker冲冲冲成功,没头绪了,打开都是代码,看wp把wp:发现了api.php,这时候源码已经下载下来了,打开api.php的源码:在买彩票这里的函数:其中 $numbers 来自用户json输入 {“action”:“buy”,“numbers”:“1122334”},
2020-09-18 18:03:30
245
原创 burp suite
2020/9/17Repeater板块在proxy模块抓到包后,点击Action按钮,选择 Send to Repeater转到Repeater板块,点击go按钮,在Response区域内,可以看到服务器返回的信息Intruder板块同上,Action按钮 --> Send to Intruder ,转到 Intruder 板块。来到 Positions 子版块,看到有许多绿色背景文本,点击右侧 Clear 按钮 清除变量,并选中你想要的内容点击 Add 按钮来添加变量。然后来到 pa
2020-09-17 18:25:04
86
原创 java script
2020/9/17基本语法JavaScript语法和Java相似,每个语句以;结束,语句块用{···}。注意:JavaScript严格区分大小写。变量变量的概念: 一个变量就是分配了一个值的参数。使用变量可以方便的获取或者修改内存中的数据变量的声明: 在声明变量时使用关键字var,要注意关键字与变量名之间的空格,也可以在一行中声明多个变量,以逗号分隔变量。注意: 变量名必须是一个JavaScript标识符,应遵循以下标准命名规则:第一个字符必须是字母、下划线(_)或者美元符($)后面可以跟
2020-09-17 18:19:28
199
原创 每天五道题
2020/9/17第一题看到文件上传,菜刀生成php,抓包改jpg,发送reapter,操作完成,upload success连接菜刀
2020-09-17 18:13:18
568
原创 php
常见的PHP风险点PHP代码 这会显示一个文本框和提交按钮。当用户点击提交按钮时,"test.php"会处理用户的输入,当"test.php"运行时,“KaTeX parse error: Expected 'EOF', got '&' at position 125: …st.php?hello=hi&̲setup=no,那么,不止是…hello"被创建,”$setup"也被创建了。可操作的参数名如果我们提交URL:key.php?=.
2020-09-16 18:56:02
71
原创 msf
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。MSF的官方链接:https://www.metasploit.com/msf的根目录是/usr/share/metasploit-framework/核心命令=============? 帮助菜单banner 显示一个真棒metasploit横幅cd 更改当前的工作目录color 切换颜色connect 连接.
2020-09-16 17:39:40
197
原创 每天五道题
2020/9/15第一题sql注入,用sqlmap实验,无效,进行手动sql注入,。无效,查看网址index.php,没东西,查看robots.txt,不出意料都没有,。。看wpwp:一开始有点看不懂。原来是把sql的结果输出在了函数里显示出来,第二题 题目给出提示,让我们找入侵痕迹,首先查看页面源码,毫无问题,查看index.php看看会不会留下什么东西,没有,查看url发现id,可能与sql注入有关,这个应该就是痕迹了,入侵者使用sql注入入侵,使用sqlmap,没结果,尝试手动注入看看有无收
2020-09-15 19:50:58
148
原创 php漏洞部分
2020/9/15针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)7、Session 会话劫持(Session Hijacking)8
2020-09-15 18:23:55
57
原创 sqlmap
2020/9/15sqlmapsqlmap -h 查看帮助信息-u 后面跟地址信息–tables 数据库里的表信息–columns 表里的列的信息–dump 表里的条目–dbs 列出里面所有可用的数据库例子:sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1 -dbs-dbs 找出里面可用的数据库sqlmap -u http://testphp.vulnweb.com/listproducts.php?cat=1
2020-09-15 15:36:04
110
原创 php
PHP 脚本可放置于文档中的任何位置。PHP 脚本以 <?php 开头,以 ?> 结尾:<?php// 此处是 PHP 代码?>PHP 文件的默认文件扩展名是 “.php”。PHP 文件通常包含 HTML 标签以及一些 PHP 脚本代码。PHP 支持三种注释:实例<?php// 这是单行注释/*这是多行注释块它横跨了多行*/?>PHP echo 和 print 语句echo 和 print 之间的差异:echo - 能够
2020-09-14 19:11:13
71
原创 每天五道题
2020年9月14日复习一下新手题get提交,网址后面加上/?和你想要的值post提交,打开hackbar进行提交查看robots协议,在网址后面加入robots.txt,若弹出php文件,尝试构造php地址index.php备份文件,常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history打开开发者工具,在查看器窗口审查元素,查看代码有没有什么限制住了开始做第一题,直接是1.php,删了也没用,要找到初始页面,删掉1.php后,使用inde
2020-09-14 19:06:47
87
原创 nmap基础
2020/9/14nampnmap基础主机发现端口扫描扫描规则服务和版本检测nmap基础namp -h 查看使用说明 namp (你要扫描的地址)查看比较常见的100个tcp端口号 sort -r -k3 /usr/share/nmap/nmap-services | grep tcp |head -n 100nmap -a 153.65.24 = nmap 153.65.24 -a若 nmap example.com 解析主机名的ip地址是多个的话,默认解析第一个,*all,可以解析全部
2020-09-14 16:43:46
146
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人