自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(6)
  • 收藏
  • 关注

原创 XXE——理论与实例

XXE(xml外部实体注入漏洞)1、原理:​ XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。(XXE漏洞触发的点一般是可以上传xml文件的位置)​ 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。以PHP为例,在PHP里面

2020-10-13 22:45:14 529

原创 应急一些小技巧(持续更新)

(目前经验较少,基本都是与windows相关,写的也比较乱。之后慢慢补充) 勒索病毒事件排查顺序 勒索病毒处置时,先确定文件最早加密时间点(everything),再去基于这个时间点分析日志行为和可疑文件。 定位调用dll文件的进程 有时候在使用edr查杀到恶意的动态链接库文件,删除时显示文件被占用。此时需要查询哪些程序在调用它,方法:<1>使用taskllist /m xxx.dll命令;<2>任务管理器-性能-打开资源监视器-CPU处可以搜索关联句柄;

2020-10-13 21:18:26 435

原创 SQLMAP工具详解

sqlmap支持的注入模式:​ 基于布尔的盲注:根据返回的页面内容为条件判断真假的注入;​ 基于时间的盲注:不能根据页面返回内容判断任何信息。用条件语句加入延时函数,通过页面的返回时间来判断;​ 基于报错注入:利用页面会返回错误信息;​ 联合查询注入:可以使用union的情况下的注入;​ 堆查询注入:可以同时执行多条语句的注入。支持的数据库:多种…选项1、输出等级​ -v:观察sqlmap对一个点进行了怎样的常识判断以及读取数据,默认是1​ 0(只显示python错误以及严重的信息

2020-10-13 21:10:24 1623

原创 用C语言查找数组中任意数字出现次数

给定一个数组a,想要查找数组中各元素出现次数,实现的思想类似于桶排序思想。!前提:要知道所给数组中的最大值 max   申请一个数组 b,数组长度为 max ,将数组中所有元素置0int b[max+1] = {0};   遍历原数组 a ,每次循环都将 数组b中下标为a[i]的元素加1for(int i = 0; i    若想查找数组中某元素出现次数:

2017-11-11 22:21:11 12759 1

原创 C语言实现约瑟夫环

伪链表实现 1 2 3 4 5 6 7 8 91011 0  0   1   2   3   4  5   6  7   8   9   10  11     数组下标伪链表本质是数组,用其下标表示每个人的序号,每个数组元素中存的是下一个人的下标(序号)代码如下://默认从1开始

2017-11-05 13:49:56 3363

原创 (简单)宏定义 与 用户自定义类型typedef

宏定义(宏替换)用户自定义类型 typedef用户自定义类型typedef 延伸#define语句 和 typedef语句

2017-10-09 21:28:17 260

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除