- 博客(16)
- 收藏
- 关注
RSS订阅原创 PHP代码审计(死亡退出)
代码:<?php show_source(__FILE__); $c="<?php exit;?>"; @$c.=$_POST['c']; @$filename=$_POST['file']; if(!isset($filename)) { ...
2018-02-13 10:23:02
1701
原创 PHP代码审计(ereg截断漏洞)
<?php $flag = "flag";if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '<p>You password must be alphanumeric</p>'; } els...
2018-02-10 10:34:21
5413
原创 PHP代码审计(绕过过滤的空白字符)
讨论一道代码审计题 这里打开网页并查看源代码并没有发现有用的信息查看他的HTTP头发现hint里有26966dc52e85af40f59b4fe73d8c323a.txt这个文件打开获得源代码<?php$info = ""; $req = [];$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";ini_set...
2018-02-09 10:38:33
4291
原创 黑板课爬虫第一、二关
第一关链接:http://www.heibanke.com/lesson/crawler_ex00/ 意思根据网页给的数字不断更新网址后的数字,直到提示进入下一关为止。大概思路用python正则表达式获取网页里数字,再把这个数字加在网址后面一直重复即可手动输了几个数以后发现 除了第一次为输入数字XXXXX之后都为输入的数字是XXXXX.即可用下面这个正则
2018-01-17 21:59:56
817
转载 ubuntu安装php5.6
直接sudo apt-get install php5.6未果后发现以下操作使用ppa增加源:sudo apt-get install python-software-properties sudo add-apt-repository ppa:ondrej/php sudo apt-get update sudo apt-get -y install php5.6 php5.6-mcrypt
2018-01-17 13:07:02
1897
原创 XSS获取Cookie过程简单演示
XSS:跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 本次演示将通过DVWA平台进行实例:打开
2018-01-15 16:50:47
29839
9
转载 Mac os下apache正常启动localhost无法访问服务器
由于删除了/private/var/log下面的日志,导致重启电脑后apache无法正常工作。重启电脑后apache无法正常运行,访问localhost或127.0.0.1都会无法找到服务器。探索:问题出现后,由于$ sudo apachectl start不会报任何错,但是访问localhost或127.0.0.1始终失败。可能情况1: 没有监听
2018-01-06 22:44:16
8408
原创 Python | MD5爆破及Base64/Base32爆破解密脚本
一.MD5爆破脚本:题目:爱学习的小华正在复习一种32位的密码时候,不小心把墨汁瓶打翻了。作业本上留下了小华的作业给遮住了,现在只知道部分密文和部分明文,需要你去了解一下告诉小华原来的内容。密文:815a87cc*92c11*c83b2*7000dedf9*b明文:B*SWZ*ZYXY*Z脚本:import hashlibdic=['Q','W','E','R','T','Y','U','I','
2017-11-27 09:57:53
8493
转载 Linux下切换python2和python3
0x00 为什么需要有两个版本的PythonPython2和Python3不兼容是每个接触过Python的开发者都知道的事,虽说Python3是未来,但是仍然有很多项目采用Python2开发。Linux的许多发行版本(如Ubuntu)都会自带Python2.7,但是当我们准备开发一个Python3项目的时候,我们该怎么办?那就把Python3也下咯。嗯,Linux下确实是可以两个一起装的,但是问题是
2017-11-25 15:38:15
2057
原创 Unable to locate package
在服务器装搭环境碰到不少问题 解决后稍微记录一下用apt-get更新软件包时常出现错误提示Unable to locate package update, 尤其是在ubuntu server上,解决方法是:先更新 sudo apt-get update 继续更新: sudo apt-get upgrade 然后就可以安装apache: sudo apt-get ins
2017-11-25 10:41:45
524
原创 SQLI-LABS(Part 1)——搭建
搭建SQLI—LABS环境:1.从https://github.com/Audi-1/sqli-labs下载源码2.将源码放在web目录下 Mac下web项目根目录默认在/Library/WebServer/Documents Linux下web项目根目录默认在/var/www/在这里使用的为Mac Linux系统下大同小异mv sqli-labs-master /Library/
2017-11-24 11:52:44
972
原创 浅谈SQL注入
00x1 什么是SQL注入:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。讲一个简单的SQL注入例子: 用户名________,密码_________ 登录成功 这时便从数据库中查询用户名和密码,如果匹配则登录成功。如果是下面这样呢:用户名________,密码__________ 这是把密码栏注释删除掉之后,仅凭用户名即可
2017-11-24 11:04:01
527
原创 Mac下Docker_kali的安装
Docker知识科普:Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现 虚拟化。容器是完全使用 沙箱 机制,相互之间不会有任何接口。Docker与虚拟机比较:作为一种轻量级的虚拟化方式,Docker在运行应用上跟传统的虚拟机方式相比具有显著优势:Docker容器很快,启动和停止可以在秒级实现,这相比
2017-11-20 18:07:27
3785
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人