- 博客(11)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 GIT快速上手
我们假设在GITHUB上面有一个仓库,是repository。我们假设这个repository上面只有一个**分支branch提交commit**是init。,通过该命令我们可以在本地复制一个一模一样的仓库。我们可以将本地部分想象成两份local和disk。local是git程序所知道的样子,而disk是本地硬盘存储的样子。
2024-06-17 15:55:17
325
1
原创 本地包含与远程包含
本地包含与远程包含本地文件包含文件包含:重复使用相同的代码相关函数:include、include_once、require、require_once无论使用什么后缀,只要被文件包含相关函数导入,就会作为PHP代码执行。也就是说如果被导入的文件参数可控,就会造成上传任何文件都能拿下服务器。相关函数区别include 用到临时加载include_once 检测之前是否加载过,如果有就不包含了require 先加载,然后整合原有代码,然后一起执行[影响整体]require_on
2023-02-14 22:02:57
184
原创 WEB代码执行
代码执行漏洞代码执行漏洞原理用户输入的数据会被当做后端代码执行**RCE:**远程命令或代码执行。造成代码执行函数解析eval 可以执行多行代码。assert可以执行单行代码。preg_replace存在代码执行<?php echo preg_replace('//e',$_GET[8],'') ?><?php echo preg_replace('//e',"$_GET[8]",'') ?>当如果匹配成功的话可以触发create_function创建匿
2023-02-14 22:02:35
130
原创 SQL注入技术
SQL注入技术漏洞成因SQL注入漏洞的原因是由于程序员没有严格过滤用户输入,导致用户输入语句与数据库语句拼接成了一个新的合法语句所产生的漏洞。SQL注入应用技术SQL注入可以用来读取文件、写入文件、执行系统命令。SQL注入的不同类型和常用函数有回显的注入有回显的漏洞直接走一遍标准流程就行了报错注入有的时候页面会显示sql报错,在这种情况下,我们可以通过人为的报错将不可见的信息转换在错误信息显示出来。updatexml报错注入uname=Dumb&passwd=0' or upd
2023-02-14 22:01:58
466
原创 网站_XXS技术
XXS技术XXS简介与分类跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是寻找参数未过滤的输出函数。下面是一些常见的XSS分类:反射性XSS存储型XSSDOM型XSS反射性XSS攻击者事先准备好攻击请求,被攻击人去使用这个链接的时候就会触发XSS
2022-04-17 19:16:26
4051
原创 flask框架安装
flask框架安装pip install flask --user1.0程序的基本架构1.1初始化所有Flask程序都必须新建一个程序实例。WEB服务器把接收的客户端所有请求转交给这个对象处理。# 如何初始化Flask对象实例from flask import Flaskapp = Flask(__name__)# __name__参数决定程序根目录,以便能够找到向对于于根目录的资源文件位置。1.2路由和视图函数Flask实例需要知道URL和函数之间的关系,Flask保存了一个函数映
2021-08-12 22:01:01
3167
原创 使用Python控制手机
使用Python控制手机1.0 一切从一个薅羊毛项目开始说起假期我有一个andorid设备自动化需求,于是乎就想到了Python。但是Python并没有可以直接操作android的库(或者我没去研究)。于是乎就想到了万能的andorid调试工具adb。1.1 android和adb的关系android操作系统是老生常谈的内容了,今天在这里不做过多赘述,接下来开始介绍adb。adb全称(Android debug bridge),主要用于android程序开发中的debug操作。1.2 adb安装
2021-08-12 22:00:10
1479
原创 C语言基础学习
C语言基础学习路漫漫其修远兮,吾将上下而求索C语言简介C语言是一门通用型,面向过程的编程语言。#include <stdio.h>int main(){ printf("HelloWorld"); return 0;}以上就是一个简单的C语言程序例子。不同的变量类型目前为止本人学到了以下类型:整数类型浮点数类型字符类型布尔类型逻辑和循环逻辑判断if (判断){ 语法块}else if(判断){ 语法块}else{ 语法块}for循环fo
2021-08-12 21:58:49
105
原创 反序列化漏洞
反序列化漏洞本文参考一文从PHP反序列化入门到进阶原理序列化的原理就是用过函数将一个类型变成一串文本保存起来,而反序列化又是将一串序列化过的文本还原成一个对象。通过修改序列化字符串的方法来执行想要的操作。Class 类 => 函数和变量的集合函数serialize() # 序列化对象unserialize() # 反序列化字符串成对象序列化后的内容要和类捆绑篡改参数的方法<?phpshow_source(__FILE__);class he{ var $h = "
2021-08-12 21:57:52
155
原创 文件上传基础整理
文件上传基础整理1.0 前端绕过当文件检测在前端的时候,我们可以使用前端绕过来进行操作,操作如下:使用burp抓包,修改自己想要的参数即可2.0 Content-Type方式绕过通过抓包修改Content-Type方式绕过3.0 黑名单绕过$deny_ext = array('.asp','.aspx','.php','.jsp');语言绕过方案PHPPhp5、php6、php7、phtml、shtml、phtm等jspjspx、jspf、jspa、jsw、j
2021-08-04 15:16:40
178
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人