摘要:
实验地址:http://www.shiyanbar.com/ctf/62 右键查看源码: 进入后看到代码: 根据源码可以看到两处特别需要重视的地方。 很明显1处sql语句存在注入漏洞,但是密码栏不能通过一般的注入来绕过,但是可以发现,只要满足了($row[pw]) && (!strcasecmp($ 阅读全文
摘要:
众所周知,文件上传在一些网站应用中是必不可少的一部分。比如个人博客上传个性头像,一些论坛分享好的学习资料等,这就涉及到使用表单处理文件上传的知识,在php中 我们可以使用$_FILES这个全局数组来处理。下面就看看基本的文件上传处理部分。 0x01创建一个文件上传表单 有关上面的 HTML 表单的一 阅读全文
摘要:
0x01简介 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件 阅读全文
摘要:
HTTP(超文本传输协议)协议是一种无状态的协议。无状态是指web浏览器与web服务器之间不需要建立持久的连接。 HTTP遵循请求(request)和应答(response)模型,web浏览器向web服务器发送请求时,web服务器处理请求并返回应答。 HTTP请求 HTTP请求有三部分组成: 1.请 阅读全文
摘要:
C/C++:永远不会衰败的语言,适合偏底层,比如,Windows操作系统80%以上是由C/C++完成的,C/C++也经常用于写应用层C/S架构的软件。如果想研究缓冲区溢出,或者针对底层协议写一些软件,那么非C/C++莫属。 Java:真正的跨平台语言,“一次编译,到处运行。”。Java适合应用层的开 阅读全文