笔记
关注
分享
扫一扫
文章平均质量分 67
Оrdsh1ne
初学者,学习ing!
展开
-
PHP伪协议
PHP伪协议文件包含漏洞为了可以更方便的重复使用代码,使用了文件包含函数将文件包含进来,直接使用文件中的代码来提高效率。但是这样也会产生文件包含漏洞。产生原因:为了灵活包含文件会将包含文件设置为变量,通过动态变量来引入需要包含的文件。然而用户也可以对变量的值进行控制,如果服务器端未对变量值进行合理的校验,就会导致文件包含漏洞。文件包含函数include() 代码执行到 include() 函数时将文件包含,在错误发生后脚本会继续执行include_once() 当重复调用同一原创 2021-09-09 21:08:41 · 212 阅读 · 0 评论 -
浅谈PHP反序列化
浅谈PHP反序列化以及反序列化漏洞序列化与反序列化基础定义:序列化就是将变量转化为可保存或传输的字符串的过程反序列化就是在适当的时候把这个字符串再转化成原来的变量使用运用函数:序列化函数:serialize(),该函数可以将变量转化为字符串,并且在转换中可以保存当前变量的值反序列化函数:unserialize(),将序列化函数生成的字符串在变换回变量序列化的目的:将所序列化的内容保存为一个对象方便以后重用,就是在变量值可能需要跨脚本调用的时候,如果没有序列化的这种机制,就相对比原创 2021-08-15 21:23:17 · 256 阅读 · 0 评论 -
BUUCTF-N1BOOK
[第一章 web入门]常见的搜集打开网页,可以知道考的是敏感文件常见的敏感文件有:gedit备份文件,格式为filename,比如index.phpvim备份文件,格式为.filename.swp或者*.swo或者*.swn,比 如.index.php.swprobots.txt尝试先查看robots.txt文件,查看这个flag1_is_her3_fun.txt文件,得到flag1再者,尝试查看备份文件.index.php.swp,得到flag3那flag2呢?最后是在index原创 2021-08-01 15:08:35 · 726 阅读 · 0 评论 -
BUUCTF笔记
EasySQL明显的SQL注入题[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传直接尝试万能密码[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传获得flag[极客大挑战 2019]Havefun 1[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传查看前端代码[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传可以看出,get提交参数给cat赋值,当cat的值为dog,就会原创 2021-07-25 13:43:04 · 184 阅读 · 0 评论 -
CTFshow--web入门
web入门:web6:where is flag?抓包查看,啥也没有题目提示 解压源码到当前目录,测试正常,收工,www.zip源码泄露下载www.zip源码后,zip中有两个文件,打开txt文件,flag{flag_here},提交flag,错误。。。尝试访问fl000.txt文件,得到了正确的flagweb7:提示,版本控制很重要,但不要部署到生产环境更重要。是个git泄露问题,漏洞成因:在运行git init初始化代码库的时候,会在当前目录下面产生一原创 2021-07-25 13:42:49 · 483 阅读 · 0 评论 -
hackinglab笔记
hackinglab笔记基础关第一关:key在哪里?直接查看源代码,key在注释中第二关:再加密一次你就得到key啦~得到一串字符串,xrlvf23xfqwsxsqf根据题目,在加密一次就可以得到key,因为rot-13是它自身的逆反,两次加密即为本身通过ROT-13再次加密,获得keyROT-13在线解密工具:ROT13 @ http://www.rot13.de/第三关:猜猜这是经过了多少次加密?通过加密字符串的最后,“=”,猜测,可能是base64编码将全部字符串复制原创 2021-07-18 22:44:39 · 161 阅读 · 0 评论 -
upload-labs笔记
upload-labs笔记第一关:尝试上传1.php文件,开启代理抓包,发现没有产生流量就进行验证了,说明是前端JS验证方法一:修改前端代码,这里的值修改成1即可上传。方法二:禁用js,以搜狐为例,先在地址栏输入about:config,然后搜索javascript,将值改为false即可。方法三:使用burp抓包,上传1.png文件,将文件名修改成1.php。上传一句话木马成功后,使用蚁剑连接,就可以获得webshell。第二关:尝试直接抓包上传,抓包成功原创 2021-07-18 22:40:43 · 116 阅读 · 0 评论 -
HTTP
HTTP超文本传输协议HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。HTTP 消息结构HTTP是基于客户端/服务端(C/S)的架构模型,通过一个可靠的链接来交换信息,是一个无状态的请求/响应协议。HTTP使用统一资源标识符(Uniform Resource Identifiers, URI)来传输数据和建立连接。URI包括URL。客户端请求消息HTTP请求由请求行(request line)、请求头部(header)、空行和请求数据四个原创 2021-04-30 17:22:46 · 185 阅读 · 1 评论 -
网络协议基础
网络协议基础计算机之间的通信基础首先需要得知对方的IP地址主机在发送数据之前,首先会判断目标主机的IP地址跟它是否在同一个网段在同一个网段,ARP广播、通过交换器\集线器传输数据不在一个网段,则需要通过路由器转发数据最终是根据MAC地址(网卡地址),输送数据到网卡,被网卡接受ARP 在同一个网段下就可以进行广播,通过广播,获取MAC地址计算机之间的连接方式:集线器(hub)hub就是中心的意思半双工通信集线器是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。通俗原创 2021-04-30 16:54:35 · 238 阅读 · 1 评论