蜗牛真理

摘要：添加路由通往172.17.0.1网络的数据包由192.168.234.136来转发 route add 172.17.0.0 mask 255.255.255.0 192.168.234.136参考感谢 https://www.cnblogs.com/linux-wangkun/p/5840441. 阅读全文

摘要：目录穿越，也就是目录遍历，当前都是通过变量传递给服务器以访问想要的资源，如果其传递的内容直接与资源目录拼接，就很是容易出现次安全问题。 绝对路径直接读取 如=/etc/passwd 剥离../ 如....//....//...//etc//passwd 多余url编码 如可以二次url编码../ 验 阅读全文

摘要：获取目标方式 -u 读取一个直接输入的url -m 批量读取一个TXT文件里的url -r 读取一个TXT文件里的信息，如保存请求头为一个文本文件以进行注入读取 -l 读取日志文件里的目标，如bp联动 -g 读取谷歌浏览前一百条中的注入点 请求 --level 3 设定3级即可尝试注入user-ag 阅读全文

摘要：我有段时间疯狂使用各类笔记软件，相信什么云记忆，第二大脑之类的说法。后来发现，没啥意义。记多了根本看不完，你在当时没时间看的，过后更没时间看。笔记唯一剩下的作用就是检索，但是你没看过的内容，你又怎么知道要检索啥呢？而且，自己维护的资料库，怎么也没办法跟google的检索比。善用google的搜索规则 阅读全文

摘要：本菜觉得其实无论什么注入，不用纠结于什么先数字型、字符型等等一系列的步骤方法，就是通过对于数据库sql语法的熟悉，在数据交汇的地方，输入出现错误了，去试着拼成能够获取你所想要信息的语句，且其能在程序中执行，逐次尝试，直到成功，反复熟能生巧，由徒为师。 先后试过了dvwa，burpsuit在线靶场等， 阅读全文