AAAAAAAAAAAA66的博客

全文约2000字，看完需要15分钟。最近因为疫情隔离，每天的空闲时间比以往多了，正好有时间对自己反思，最近的观看量相比以前来说的确多了一点，也可以算上是自己一个微不足道的成就吧。 但说实话，我自己的水平也不咋地，发文章也仅是记录自己的学习过程与思考，如果对你们有哪怕一丁点帮助的话，我就很满足了。目录CSRFpikachu靶场实战准备阶段攻击实施回顾CSRF的防御方式及优劣讨论 ...

目录认识 SSRF（服务器伪造）实例安鸾SSRF01有时间的话可以先看看这里前言：其实我很早就了解到了'SSRF' （服务器伪造）这个名词了，但是当时仅从字面上感觉非常难理解，看了下详细的描述也没有什么头绪，再加上没有碰到什么靶场或者CTF题目有把这个作为单独的考点，到了最后可能就放弃了对SSRF的学习。所以这里最好从一些简单的靶场练习，帮助我们建立一点印象，再以点到面的学习，然后逐渐的掌握各种相关应用场景。大家耐心的看一遍话基本能简单的入门SSRF了。这是我一个新手的一.

靶场地址首页 : 安鸾渗透实战平台 - 安鸾学院目录文件上传漏洞利用条件Nginx解析漏洞文件上传01 （绕过前端验证）文件上传02 00%截断​文件上传漏洞利用条件1.可以上传php文件，或者上传的文件可以被解析为php文件2.可以找的到文件上传后的路径Nginx解析漏洞该漏洞与Nginx、php版本无关，属于用户配置不当造成的解析漏洞。实际上就是由于判断文件后缀出现问题，导致我们可以添加一个/.php 后缀 使得系统解析图片木马为php文..

中华人民共和国网络安全法(出版物)_360百科中华人民共和国网络安全法,《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的法律。《中华人民共和国网络安全法》由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。https://baike.so.com/doc/24210940-24838928.html目录中华人民共和国网络安全

想我一个月之前还说的要日更php反序化的知识的，结果第三章鸽了两天，这第四章倒好，直接鸽一个月。中间因为学的太慢去搞别的方向了，现在终于有了时间来整治这x蛋的php反序化链了。---------------------------------------------------------------------------------------------------------------------------------引子现在CTF一般都会考反序化题目，熟练掌握反序化漏洞，不至于

不会吧，不会吧，不会还有人没听过防火墙吧？~~听过是一回事，但了不了解又是另外一会事了，在我小时候，家里电脑刚买，对电脑那是相当的’爱护‘，每次开机都得克制我玩游戏的强烈欲望，先用对电脑进行杀毒，那免不了天天和360安全卫士打交道，凡是联了网，它就会显示防火墙已开启。（其实360也有着作为防火墙的功能）这样就应该是我认识防火墙这个词的过程的过程，不过真正的仔细了解还是在若干年后的大学了，计算机专业说不知道防火墙就有点说不过去了。偷偷问一句，你们还用360不？目录简介防火墙的类型1

前几天刚做一道命令执行的题目累的够呛，这会刷题又碰见一道，所以做个总结，梳理一下自己学到的各方面知识。题目分析<?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"]));

接触xss和sql很久了，当初看了一遍原理，随便练一个dvwa就觉得自行了，实际上自己离熟练掌握还有很长的距离，这篇帖子会一直更，介绍完原理后会放些相关知识点，CTF题目或者是些实操(仅作学习用)-----会一(要)直(收)更(藏)的(哦)XSS介绍XSS又叫CSS(Cross Site Scripting),中文名叫跨站脚本攻击，在Owasp top 漏洞排名中，常年位居前列。是一种在Web应用中常见的安全漏洞，它允许将恶意代码植入Web页面，当其他用户访问此页面时，植入的恶意代码就会.

从第一次接触到SQL注入到现在已经有小半年了，简单打了个DVWA靶场之后便没怎么用手工注入，非常依赖工具，最近遇到几道需要手动注入的CTF题目，发现自己对sql注入的原理只是停留在一个基础的理论之上，所以就写这一篇文章对自己的sql注入进行新的梳理。———————————————————————————————————————————开始介绍sql注入漏洞之前，先介绍一个基础的mysql查询语句（学过数据库的同学直接跳走）我们经常遇到一个这样的需要我们输入的表格我们在这输入一个 1 .

------------------------------------------------------------------------------------------------------------------昨天打了一场CTF，断更了一天。。。------------------------------------------------------------------------------------------------------------------.

上文中我们简单介绍了下PHP序列化，及为什么要序列化。弄清楚前面2个知识点后，理解这个过程会更容易。*****PHP语言中常用的序列化和反序列化函数有serialize,unserialize,json_encode和json_decode.*****这里介绍serialize,unserialize函数。serialize函数当序列化对象时，PHP在序列化动作之前调用魔法函数 __sleep,这样就允许对象在被序列化之前做任何清楚操作。魔法函数：在php的语法中，有一些系统自带的方

序列化和反序化简介为了有效地存储或传递数据，同时不丢失其类型和结构，经常需要利用序列化和反序化函数对数据进行处理。序列化函数返回字符串，此字符串包含了表示值的字节流，可以存储于任何地方。 反序列化函数对单一的已序列化的变量进行操作，将其转换回原来的值。 这两个过程结合起来，可以轻松地存储和传输数据，使程序更具维护性。 PHP语言中常用地序列化和反序列化函数有 serialize,unserialize,json_...