- 博客(24)
- 收藏
- 关注
RSS订阅原创 一看就会的常间Mysql绕过方式
本文总结了SQL注入中常见的过滤绕过方法。针对空格过滤,可使用/**/注释符、%0a换行符或括号替代;引号过滤时可用十六进制表示字符串;逗号过滤可通过JOIN语句、FROM FOR语法或OFFSET替代;比较符号被过滤时,可利用greatest()、strcmp()、BETWEEN AND或IN等函数实现比较功能。这些技巧为SQL注入测试提供了实用的绕过方案,有助于应对各类输入过滤场景。
2026-01-05 21:51:19
593
原创 宽字节注入详解
本文分析了GBK与UTF-8编码差异导致的SQL注入漏洞。当网站使用GBK编码而数据库采用UTF-8时,由于GBK双字节与UTF-8三字节的差异,攻击者可通过添加特定字节(如%df)使转义符(%5c)与输入字符组合成汉字,从而逃逸单引号(%27)实现注入。文章以sqli靶场Less32关为例,演示了通过构造%df%5c形成繁体"运"字,使单引号逃逸导致语法报错的过程。虽然现代系统通过统一编码可防御此类攻击,但该案例仍具有研究价值,展示了编码差异带来的安全隐患。
2026-01-04 16:04:47
224
原创 awk入门练习题
本文汇总了12个实用的Linux Shell脚本,涵盖服务器管理、日志监控、用户管理等多个场景:1)文件一致性检测;2)定时清空/记录文件;3)网卡流量监控;4)文档数字统计;5)Nginx 502监控重启;6)端口扫描;7)批量创建合规密码用户;8)批量修改服务器密码;9)CPU监控;10)磁盘使用日志;11)Apache进程监控;12)基于访问日志的IP封禁/解封。这些脚本包含文件比对、定时任务、异常检测等核心功能,采用md5校验、流量统计、进程监控等技术,适合自动化运维场景,部分脚本包含失败重试和告警
2025-12-27 15:58:25
506
原创 Cacti的CVE-2025-24367复现
摘要:本文介绍了利用Cacti监控系统中的PING-AdvancedPing模板漏洞进行命令注入攻击的方法。通过在right_axis_label参数中插入恶意payload(包含创建RRD文件和执行PHP代码的指令),攻击者可以在服务器上执行任意代码。具体步骤包括:修改模板参数、创建新图表、触发payload执行,成功时会出现error提示。
2025-12-08 11:27:22
266
原创 一看就会的防火墙智能选路配置
本实验基于eNSP平台,研究了四种智能选路策略:1)链路带宽负载分担,根据带宽比例分配流量并设置过载保护;2)链路质量负载分担,考虑时延、丢包率等要素,需配置质量探测表;3)链路权重负载分担,按设定权重比例分配流量;4)主备备份策略,包含纯主备模式(主接口故障才切换)和负载分担模式(主接口过载时与备份接口共同分担流量)。实验发现链路质量探测在模拟器中存在实现问题。不同策略适用于不同场景,需根据实际需求选择部署方式。
2025-08-14 11:22:45
334
原创 xss-labs的1-8关详解
本文记录了从Level 1到Level 8的XSS漏洞测试过程。通过分析不同关卡对输入的处理方式,逐步尝试了多种注入方法:直接script标签注入、闭合引号构造payload、onfocus事件触发、大小写变换绕过、双写关键字、Unicode编码等技术。每个关卡都先观察网页结构,再针对性地绕过过滤机制(如实体化、大小写转换、关键词替换等),最终成功实现弹窗效果。测试过程体现了XSS防御措施的演变及对应的绕过思路,涵盖了基础到进阶的XSS攻击技术。
2025-07-16 16:26:08
884
原创 一看就会的Burp进行暴力破解
本文介绍了使用小皮面板搭建测试环境时可能遇到的MySQL冲突问题解决方案(关闭电脑原有MySQL服务),并演示了利用Burp Suite进行暴力破解的过程。首先拦截测试网站的登录请求,将密码字段设为攻击点,导入密码字典进行攻击。通过分析响应长度差异发现"123456"可能是正确密码,最终验证成功完成破解。整个过程展示了从环境搭建到实际攻击的基本流程。
2025-07-11 00:00:00
378
原创 Ubuntu如何快速搭建docker以及使用代理访问
本文介绍了Docker的安装方法,以及解决无法访问Docker官方仓库的方案。建议通过配置代理解决访问问题。安装后可通过docker run命令测试运行Nginx容器,成功创建后会返回容器ID并可通过端口映射访问服务。文中还提到使用docker info验证代理配置是否生效,以及通过下载镜像测试连接是否正常。
2025-07-10 10:44:39
580
原创 一看就会的WLAN配置
本文详细介绍了直连式组网中WLAN的配置过程,主要分为三个步骤:首先,通过VLAN技术实现AP与AC设备的连接;其次,在AC设备上配置DHCP服务,确保AP设备能够自动获取IP地址;最后,配置WLAN服务,包括域管理、SSID管理、VAP模块、AP管理模块以及AP上线。通过这一系列配置,最终实现了CAPWAP隧道的成功建立和AP设备的正常上线。整个过程展示了如何在二层组网环境中高效配置WLAN,确保网络的稳定性和安全性。
2025-05-10 23:16:19
1100
原创 重发布技术
其本质就是在两种路由协议之间,或者一个协议的不同进程之间,借助ASBR(同时工作在两种协议或 者协议的不同进程中)学习到两个网络的路由信息,并且通过重发布进行路由共享,最终实现全网可达。由于我们在现实生活中的网络环境不一定是用同一种协议搭建的,我们为了讲两种不同协议学习的路由连接起来,所以我们需要重发布技术。静态路由是不能使用重发布,,重发布实际上不会引入任何其他协议的缺省路由。协议中的所有直连路由,全部发布给B。重发布是在两个协议之间的行为)协议学习到的路由以及在。
2025-03-03 20:23:59
271
原创 OSPF的LSA优化拓展
结果:一旦该区域呗配置为NSSA区域,那么该区域将拒绝学习所有的4类、5类LSA,并且将所有的5类LSA在进入NSSA区域时转换为7类LSA,在出该区域进入骨干区域时由ABR设备将7类LSA又转回5类LSA。配置:[r3-ospf-1-area-0.0.0.1]nssa no-summary----该命令在ABR设备上配置。配置:[r4-ospf-1-area-0.0.0.1]nssa ----在ABR上配置。一、汇总----骨干区域学习到的路由信息,在ABR设备上进行汇总传递。
2025-02-12 21:24:58
461
原创 WIndows11系统轻松解决eNSP的兼容性问题已经40、43等报错
提供另外一种解决eNSP兼容性的思路。目前这种方法相当方便,快速。可以很轻松的解决eNSP出现的各种报错等问题
2025-02-02 18:33:19
3996
5
原创 基于eNSP的交换机使用vlan的混杂实验
这里我们得使用华为交换机特有的混杂技术,将LSW1的GE0/0/2口开启hybrid模式。由于我这里是用的三层交换机作为路由器,所有直接在LSW4上创建了两个Vlanif作为两个接口,再在上面配上相应的IP就以及具备了路由功能。如题所示,题目第一点要求为PC1和PC3所属接口为access这要求很简单,直接配置即可。如PC4那里,vlan4则表示将那接口的vlan值,而U则表示那接口的VLAN_LIST的untagged的vlan范围。现在在尝试PC4,发现,PC6无法访问,但可以访问PC2和PC5。
2025-01-17 22:03:58
407
原创 eNSP中如何配置DHCP服务器
第一个就是要满足该设备存在接口或网卡连接到所要分配ip地址的广播域内,第二个则是该接口或网卡必须已经拥有合法ip地址,因此,一般担任DHCP服务器的一般都是路由器。[Huawei-ip-pool-wangcai]network 192.168.1.0 mask 24 创建pool池的范围和关联接口。其次我们在配置DHCP时应该先完成基本的准备工作,就比如先决定好有几个广播域、每个广播域分配到的ip范围之类的。第二步则是首先对局域网内的HTML服务器配置IP,后在对DNS服务器配置IP。
2024-07-06 21:43:54
1021
原创 TCP协议三次握手和四次挥手原理图文解析
本文主要是对TCP协议的三次握手和四次挥手以及相关的二次握手为什么不行这些之类的,产生的一些见解。
2024-07-05 22:18:42
1811
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人