LiuGuobin's blog
  文章分类
日报 83 随笔 7 hexo 2 附录 4 闲聊 3 资源 2 图片 1 比赛 2
PHP特性 PHP特性
思路积累各种函数,PHP语法特性,从中发现漏洞要求深入了解PHP语言并熟练使用其函数。 漏洞利用 【PHP比较运算符一览表】 $a == $b 等于 true,如果类型转换后 $a 等于 $b。 $a === $b
2023-04-12 日报
日报
文件包含 文件包含
原理文件包含漏洞是指应用程序在处理文件路径时,没有进行足够的验证导致攻击者可以利用此漏洞读取任意文件,执行任意代码甚至获取系统权限。 这种漏洞通常出现在应用程序中动态引用文件的代码中或是出现在用户可以控制文件名、文件路径或文件内容的输入参
2023-04-11 日报
日报
命令执行 命令执行
命令执行首先看过滤了什么东西,再按照下面的方法一点一点绕过。再利用没过滤的字符构造playload很多是可以泛用的,如果能找到一个很好用的也不错。 前置知识 <?=`ls /`;?>等效于<?php echo `ls /`
2023-04-08 日报
日报
CTFshow刷题记录 CTFshow刷题记录
本文会一直更新,不会分开多个文章记载刷题记录文章只记载最简单的最重要的思路信息泄露既然是信息泄露,自然不会很难,基本上都是工具一把嗦。 F12 robots.txt js index.php~ 抓包 index.phps www.zip .
2023-04-07 日报
日报
NKCTF2023WP NKCTF2023WP
前话这次CTF比赛对我来说难度感觉适中偏难吧,很多题都是可以写的只是因为比赛是团队合作,所以就把难题留给大哥们了。当然,这不是重点,重点是从中学到了啥。 WriteUpWebBabyPHP <?php error_report
2023-03-27 日报
日报
信息收集概述 信息收集概述
一些基本概念旁站:是和目标网站在同一台服务器上的其它的网站。C段:是和目标服务器ip处在同一个C段的其它服务器。ARL资产侦查灯塔:快速发现并整理企业外网资产并为资产构建基础数据库的工具(想要的自己找) 收集操作Whois操作Kali系统中
2023-03-20 日报
日报
Python装饰器&流处理技术 Python装饰器&流处理技术
2023-03-19 日报
日报
Python装饰器&流处理技术 Python装饰器&流处理技术
Python装饰器解释概念Python中的装饰器是一种用于修改或扩展函数或类的行为的语法结构。装饰器通常是一个函数或类,它接受一个函数或类作为参数,并返回一个新的函数或类。 装饰器可以用于许多不同的目的,例如: 添加日志记录或调试信息,以
2023-03-18 日报
日报
Cookie/Base64/HTTP头部注入 Cookie/Base64/HTTP头部注入
Cookie注入表现常见于 .asp?id=xx 之类的带参数的URL 前置知识cookie是一些数据信息,类型为“小型文本文件”,存储于电脑上的文本文件中。cookie是服务器创建后返回给游览器的。游览器只进行了保存。
2023-03-15 日报
日报
SQL二次注入&宽字节注入 SQL二次注入&宽字节注入
SQL二次注入表现在二次注入中,一般不会是单纯的二次注入通常会与报错注入或Bool盲注结合。比如,在注册页面输入的用户名在登录后才有盲注的回显这时候我们需要自己编写脚本模拟注册及登录。 无法通过扫描工具或者手工测试出来,二次注入一般在审计代
2023-03-13 日报
日报
SQL时间注入&堆叠注入 SQL时间注入&堆叠注入
SQL时间注入表现无论输入什么都会返回正常的处理信息或者页面无回显能依靠自身感知到页面的延时情况 原理前端在将数据传给后台时,设置了一个if语句当条件为真时执行sleep语句,条件为假时无执行语句 思路时间注入又称延时注入,与布尔盲注同属于
2023-03-12 日报
日报
SQL报错注入 SQL报错注入
表现数据库在执行时,遇到语法不对,会显示报错信息,比如错误语句:select’ 原理在公司开发项目是通常程序开发期间需要告诉使用者某些报错信息,方便程序员进行调试修复,定位文件错误,而且开发中会经常使用异常处理函数,捕获错误信息,比如在PH
2023-03-12 日报
日报
4 / 7