- 博客(22)
- 收藏
- 关注
原创 攻防世界——robots
robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。robots.txt应放置于网站的根目录下。注意:写爬虫爬取网站的信息的时候一定要注意看robots协议,要不然一不小心爬取别人的隐秘内容是一定程度违反信息安全法的。
2022-09-19 17:55:38
323
原创 攻防世界——command_execution
可以发现,第一个flag.txt文件应该是的用127.0.0.1&&cat /home/flag.txt查看。首先看题目咱们应该知道这是一道命令执行题。先pingping本地看看。
2022-09-18 22:01:11
188
原创 攻防世界——supersqli
PHP preg_replace() 正则替换,与Javascript 正则替换不同,PHP preg_replace() 默认就是替换所有符号匹配条件的元素。到这里我们的表列名就已经修改完毕,此时还会输出修改完成的words列名,最后通过万能钥匙1' or '1'='1即可得到输出。由于注入框的查询是对列id的搜索,此时参考两个表的列名,需要将flag列名改为能够查找的id列(修改包括名称和数据类型)。上网冲浪了解了一波,好像是类似黑名单,这些词会被替换,那没办法了,我们就用堆叠注入。
2022-09-18 21:18:29
1782
1
原创 Web攻防世界新手练习题——backup
3、下载.bak文件然后用记事本打开就能发现flag。1、先进去,发现用检查和bp都没有提醒。2、网上冲浪发现备份文件后缀为。一个个的尝试发现.bak可以。
2022-09-16 18:17:37
116
原创 Sqli-labs
第三关总结:前三关其实都是一个原理第一关:参数的包裹是?id='1'第二关:参数的包裹是?id=1第三关:参数的包裹是?id=('1')测试注入方法:通过测试?id=1',可以看到回显处如下发现参数的闭合方式应为?id=('1')判断列数,发现存在三列联合查询,查看回显字段查库查表查列5aTLYxcf查字段......
2022-05-21 21:26:36
84
原创 Sqli-lab闯关
第二关先进行了字符注入,发现分析报错信息不是字符串注入开始用联合查询判断回显位查库:在password的显示位3处爆库查表查列查字段,得到flag
2022-05-18 22:40:21
159
原创 Sqlilab通关教程
第一关:基于单引号的字符型注入目录第一关:基于单引号的字符型注入先进行输入参数?id=1' 出现报错说明发现注入点,判断该类型为字符注入order by判断数据库--表--表里面的数据的列进行排序(从1开始)union select 1,2,3 --判断数据显示点select system_user()显示系统用户select version()显示版本信息select @@datadir数据库的安装路径*查库: select schema_na
2022-05-17 22:43:57
1569
原创 2021-09-25
折半查找法#include <stdio.h>int main(){int arr[] = {1, 2, 3, 4, 5, 6, 7, 8, 9, 10};int i = 0;int k = 0;scanf("%d\n", &k);int sz = sizeof(arr) / sizeof(arr[0]);int left = 0;int right = sz - 1;while(left<=right){int mid=(left+right)/2;i
2021-09-25 16:17:33
48
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人