• 文件包含与2getshell

    文件读取getshell一般方式1.找源码2.找数据库 敏感文件linux/etc/passwd/etc/my.cnf/etc/shadow/etc/sysconfig/network-scripts/ifcfg-eth0 ip地址/etc/ho...
     2021-08-14 17:00:20
    阅读全文 

  • code-breaking

    2018functionpuzzle代码 123456789<?php$action = $_GET['action'] ?? '';$arg = $_GET['arg'] ?? &#...
     2021-08-11 13:12:11
    阅读全文 

  • DIVA学习记录

    1. insecre loggingObjective: Find out what is being logged where/how and the vulnerable codeHint: Insecure logging occurs whe...
     2021-08-03 11:50:01
    阅读全文 

  • bluecms

    1. ad_js.php sql注入漏洞get型参数,几乎没有任何过滤。输出显示在网页源码注释中payload: 爆表 ?ad_id=1 union select 1,2,3,4,5,6,group_concat(table_name) fro...
     2021-08-02 09:36:38
    阅读全文 

  • PCvx图片解密

    今天偶然看到一篇文章,思路很棒,值得学习https://mp.weixin.qq.com/s/rvkhkvirdq6Ab64n-lIn0Q PCvx的文件路径一般放在C盘的文档下的WeChat Files里,每个账号的vxID就是文件夹名 图片一般是...
     2021-07-31 21:11:17
    阅读全文 

  • mysql绕过技巧

    参考:https://www.cnblogs.com/yesec/p/12344786.html 针对特殊字符限制的绕过空格/**/SELECT * from emails where id=1SELECT//*//from//emails//whe...
     2021-08-01 16:13:47
    阅读全文 

  • C2隐藏

    参考:https://mp.weixin.qq.com/s/sEzUenuP6lKQVcrDK_sxAw 创建云函数https://console.cloud.tencent.com/scf/list?rid=1&ns=default新建,选...
     2021-07-28 14:52:28
    阅读全文 

  • Pentest_Note

    转载 from:https://github.com/xiaoy-sec/Pentest_Note Author:小y 公众号:关注安全技术 Pentest_Note转载请随意,记得加from声明1:依照《中华人民共和国网络安全法》等相关法规规定...
     2021-07-28 11:04:49
    阅读全文 

  • php代码审计入门

    环境配置环境用的phpstorm+phpstudy2018+xdebug phpstudy2018扩展里打开Xdebug 然后打开php的配置文件php.ini,拉到最下面,添加配置信息 123456789xdebug.profiler_output...
     2021-07-28 10:55:29
    阅读全文 

  • Web常见漏洞描述及修复建议

    转载自:https://www.cnblogs.com/iAmSoScArEd/p/10651947.html 1.SQL注入漏洞描述  Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,...
     2021-07-21 14:22:03
    阅读全文 
/16