- 博客(12)
- 收藏
- 关注
RSS订阅原创 [HCTF 2018]warmup
把代码扔给AI说有文件包含漏洞,及截取问号?前的检查,被拦截就会显示can’t或滑稽。构造文件包含的url,问号前放个已知页面,发现没有报错,那就是路径问题。把能看懂的页面访问一下,发现flag所在文件名。打开页面源代码发现有一个php页面。拼接到url后发现一堆php代码。多加了几个../之后拿到flag。
2025-09-11 20:08:06
176
原创 文件上传漏洞防护
首先,上传的文件能够被 Web 服务器解释执行。先上传htaccess文件:AddType application/x-httpd-php .jpg,注:AllowOverride All --开启重写功能。在上传文件时,后端服务器未对客户端上传的文件进行严格的验证和过滤,导致用户可以上传任意的文件,包含上传脚本文件(php/jsp/asp等格式)。文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。先上传.user.ini文件,再上传.php文件。
2025-09-10 14:22:14
148
原创 SQLmap的简易使用
SQLMap 是一个自动化的SQL注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库是MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server、Microsoft Access 、IBM DB2, SQ Lite 、Firebird 、Sybase和SAPMaxDB。注意:sqlmap只是用来检测和利用sql注入点,并不能扫描出网站有哪些漏洞,使用前请先使用扫描工具扫出sql注入点。
2025-08-25 10:26:22
521
原创 sql注入漏洞防护
SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来实现对数据库进行任意操作。
2025-08-20 16:13:26
814
原创 CSRF跨站请求伪造漏洞防护
在用户访问攻击者构造的恶意页面时,如果此时浏览器访问第三方站点(带有 CSRF 漏洞的网站) 带上了第三方 Cookie,那么第三方站点会认为这是一个已登录的用户过来访问,浏览器就能顺利完成相应的操作,所以它叫“跨站请求伪造”。在整个攻击过程中,攻击者并没有拿到受害者的身份凭证,也拿不到操作后的返回结果,他只是诱使受事者发出了一个特定的请求在大部分情况下,CSRF 攻击过程是,访问当前站点时向第三方站点发起请求并携带了第三方Cookie。攻击者会在恶意网站中注入代码,向目标网站发送伪造请求。
2025-05-15 09:02:48
410
原创 XSS漏洞防护重点
跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表(Cascading Style Sheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。攻击者在网页中注入恶意脚本代码,使受害者在浏览器中运行该脚本,从而达到攻击目的XSS的本质是前端代码的注入。
2025-04-26 10:03:40
800
原创 linux文件管理与查询
bin (二进制命令):存放普通用户和系统管理员都可使用的基础命令。: 单用户模式(维护模式)下也可使用。命令多为系统运行必需的核心工具。: /bin/ls :查看文件列表。/bin/cp :复制文件。/bin/date :显示系统时间。/sbin (系统管理命令)存放需要管理员权限执行的系统管理命令。普通用户默认无权执行(需sudo命令多涉及系统配置和维护。:管理系统服务(如启动/停止服务)。/sbin/ifconfig :查看或配置网络接口(已逐步被 ip 命令替代)。
2025-04-25 18:53:44
1061
原创 vim编辑器常用命令
Ctrl + v :进入块选择模式(垂直选择)。替换当前行所有匹配: :s/old/new/g。set expandtab " 用空格代替Tab。替换当前行第一个匹配: :s/old/new。全文替换: :%s/old/new/g (加。set tabstop=4 " Tab缩进4。普通模式下按 / ,输入关键词后回车(如。v :进入字符选择模式(按字符选择)。V :进入行选择模式(按行选择)。set number " 显示行号。w :跳到下一个单词开头。:q 退出(未修改时)。大写P :粘贴到光标前。
2025-04-21 00:23:48
712
原创 linux计划任务
atrm 删除任务 atrm 3 (删除ID=3的任务)at -c 查看任务内容 at -c 5 (查看ID=5的任务): * * * * * 用户名 命令。-N minutes :相对时间。:每小时同步服务器间数据。
2025-03-16 15:40:00
441
原创 Linux基本操作
其他操作命令主要包括链接命令(ln ),清屏命令(clear ),显示日期、时间和月历命令,获取注册信息命令和查看命令帮助信息命令(man ),hostname命令、history命令、echo命令、ps命令、whoami和who命令、查看系统信息df命令、命令别名命名:alias和unalias命令等。文件操作命令主要包括查看文件命令(ls )、显示文件内容命令(cat )、文件复制命令(cp )、文件改名命令(mv )、删除文件命令(rm )、创建一个内容为空的新文件命令(touch)
2025-03-09 16:04:04
572
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人