小白成长记录篇

摘要： 靶机：virtualbox 自动获取 攻击：kali linux 自动获取 设置同一张网卡开启dhcp ifconfig攻击IP是那个网段(也可以netdiscpver,不过毕竟是自己玩懒得等)，后上nmap，靶机IP为192.168.163.5 发现运行着几个端口 其中80 是网站 25 是SMT 阅读全文

摘要： 下载地址：‘https://www.vulnhub.com/entry/sp-harrison,302/’ 环境：靶机放在virtualbox上运行，网卡模式 攻击机：kali Linux运行在VMware，注意网络模式选择桥接，并且桥接在virtualbox的虚拟网卡上 现在开始进入主题 首先使用 阅读全文

摘要： 在线靶场（http://xss.fbisb.com） w 第一关 get请求，没有什么过滤，直接上<script>alert()</script> 源码： 第二关 输入参数会显示在文本框，直接看页面源码 发现对输入的参数<>进行了HTML实体化导致不能执行js，但是输入参数会显示在文本框并且没有经过 阅读全文

摘要： 第十一关 strrpos() 函数查找字符串在另一字符串中最后一次出现的位置 substr() 函数返回字符串的一部分 文件保存的方式是上传路径+随机时间+截取的文件后缀 其中上传路径可控，可以利用这一点 绕过方法 利用00截断进行绕过，即move_uploaded_file函数的底层实现类似于C语 阅读全文

摘要： 第一关 js 绕过 源码如下： lasIndexOf是返回函数最后一次出现的地方（从右到左） substring是用来截取函数的 indexOf是返回 表示从.出现的地方开始截取并判断是否在允许的字符串内 绕过方法： 直接burp捉包修改参数 把小马php文件后缀修改成jpg,在从burp修改php 阅读全文

摘要： window版 服务端： 开启两个线程，一个用来接收客户端的输入，一个用来监控服务端键盘的记录 客户端： get 文件（下载）put 文件（上传） window下cmd命令执行结果会直接打印出来，key 下载监控记录文件 阅读全文

摘要： 对于这两个库来说个人推荐使用requests库 下面用实例来说明 urllib库： requests库： 实现同样功能： 实现同样的功能下urllib比request步骤更复杂，这个对于我们编程来说是不好的，而且requests使用简单 urllib下的urlopen里面的data要转格式而requ 阅读全文

摘要： 三元运算又称三目运算，是对简单条件语句的简写： a = 1 b = 2 c = ' ' c = a if a > b else b 在上面中首先判断a是否大于b如果为真则c = a,如果为假则c = b; 当然也可以用公式 a = 1 b = 2 c = ' ' c = a+b if a > b e 阅读全文

摘要： 当我们把元素属性display设置成inline-block时，元素之间就会产生间隙 <!DOCTYPE html><html> <head> <meta charset="UTF-8"> <title></title> <style> *{margin: 0;padding: 0;} ul{lis 阅读全文

摘要： 1.access 接收：当数据没有tag时打上pvidtag进入,若有则看是否与pvid相等，相等则接收，不想等则丢弃。 转发：看tag是否等于pvid，若等则去tag发送，否则不处理。 2.trunk 接收：若数据没有带tag时。则打上pvidtag进入，若有，则看tag是否在allow列表，如在 阅读全文