快递小哥的博客

原创 owasp有哪些?

TOP1-注入 简单来说，注入往往是应用程序缺少对输入进行安全型检查所引起的，攻击者把一些包含指令的数据发送给解释器，解释器会把收到的数据转换成指令执行。常见的注入包括sql注入，--os-shell，LDAP（轻量目录访问协议），xpath（XPath即为XML路径语言，它是一种用来确定XML（标准通用标记语言的子集）文档中某部分位置的语言），HQL注入等。 危害如下： 注入可以导致数据丢...

原创 python部分基础题(二) --类与继承

1.编写函数，输入年份，判断是否是闰年 def Year(): year = input('请输入一个年份：') year = int(year) if year % 400 == 0: print('年份%d是闰年' % year) elif year % 4 == 0 and year % 100 != 0: print(...

原创 python部分基础题

1.编写一个程序，它将找到所有这些数字，可被7整除，但不是5的倍数，2000年至3200年(包括在内)。得到的数字应按逗号分隔的顺序打印在一行上 a = [] for i in range(2000, 3201): if (i % 7 == 0) and (i % 5 != 0): a.append(str(i)) print (','.join(a)) 结果： ...

原创 通过sqli-labs-master第八关完成dns带外攻击回显

1.利用dns缓存原理找到数据（dnslog平台查询） 2.在mysql里面获取想要的参数（load_file() 读取文件函数 version() 版本信息函数）concat() 多列合并到一起 1.txt是文件名(可以新创一个,主要是让函数生效) ,可以把一整个理解成是localhost\\1.txt，前面是网站路径，是在这个路径里面拿文件，这样版本号就出来了 ...

原创 通过sqli-labs-master第二关完成木马上传

写入一句话木马条件 一.写权限 写文件 Into Outfile into Dumpfile 二.需要知道网站绝对路径 如何确定网站绝对路径 @@basedir @@datadir 1.判断注入漏洞，是数值型注入 2.判断显示位之后，...

原创 Burp Suite 使用

利用火狐进行拦截 Proxy 代理 拦截开关 on 打开 off 关闭 Forward 下一步 Drop 停止拦截 Action 相当于鼠标右键 置于on 利用FoxyProxy插件快捷打开代理 以百度为例，进行拦截 Intruder 入侵（爆破） 以下面php文件为例 $us...

原创 利用http漏洞获取权限

环境：一台win3虚拟机 一台物理机 1. 保证物理机和虚拟机在同一网段且能相互ping通 2.在虚拟机上安装iis服务器 3.开放权限 4.在物理机桌面建立一个txt文件，里面内置木马 如：1.txt <%eval (eval(chr(114)+chr(101)+chr(113)+chr(117)+chr(101)+chr(115)...

原创 字符串函数，包括参数含义，运行效果

原创 php字符串函数运行效果

1.strlen() 可以用来计算字符串长度 2. addslashes() 将预定义的字符添加反斜杠转义 3. bin2hex() 将ascii字符串转换为16进制 4. chop() 移除字符串右侧的空白字符或者其他字符，这些字符需要自己指定的，默认就是空白字符 5. chr() 将指定的ascii值转换成字符（对应进制，百...

原创 使用PHP来编写一个页面，页面内容显示出浏览器的信息（使用for循环生成一个表格）

条件： 浏览器信息，系统信息，文件位置信息，PHP版本，文件行数。注意：浏览器信息 使用$_SERVER['HTTP_USER_AGENT']这个超全局常量，同时要保证页面的美观。 ...

原创 设置php能够连接mongodb

1.下载一个对应自己版本的mongodb，移动到对应ext当中（需要编写一个php脚本） phpinfo（）：函数 2.打开“选项菜单”选择“php-ini” 进行文件配置 ，添加一行，extension后面跟文件名称 3.解析 ...

原创 apache服务器能够使用php解析.phtml .php3

1.打开phpstudy运行软件，选择“其他选项菜单”，找到“打开配置文件”，选择“httpd.conf”，修改配置文件，把需要解析的格式添加进去 将配置好的文件插入www文件夹下 3.解析 4. .phtml同上，如果不出结果，切换phpstudy版本 ...