摘要:
Web Security sql注入 MySql MySQL False 注入及技巧总结 MySQL 注入攻击与防御 sql注入学习总结 SQL注入防御与绕过的几种姿势 MySQL偏门技巧 mysql注入可报错时爆表名、字段名、库名 高级SQL注入:混淆和绕过 Mysql约束攻击 Mysql数据库渗 阅读全文
摘要:
简介 宽字节跨站漏洞多发生在GB系统编码。 对于GBK编码,字符是由两个字节构成,在%df遇到%5c时,由于%df的ascii大于128,所以会自动拼接%5c,吃掉反斜线。而%27 %20小于ascii(128)的字符就会保留。通常都会用反斜线来转义恶意字符串,但是如果被吃掉后,转义失败,恶意的xs 阅读全文
摘要:
新浪短网址API接口 1.接口地址: http://www.wx-url.cn/sina.php?url_long=http://www.baidu.com 2.接口地址: http://dogdwz.cn/tcnjson?url=http://www.baidu.com 3.接口地址: http: 阅读全文
摘要:
HTTP接口测试 1.1 get接口 请求URL http://api.nnzhp.cn/api/user/stu_info 请求方式 get 请求参数 参数名必选类型说明 stu_name 是 string 学生姓名 http://api.nnzhp.cn/api/user/stu_info?st 阅读全文
摘要:
一、PHP主流框架介绍 主流的框架有laravel、symfony、thinkphp MVC和三层结构 MVC可以说是一种开发模式,三层结构是一种开发习惯,严格来讲,他们两者是完全不同的概念,但是在实际开发当中又有各种联系; MVC是一种将视图、控制器、数据三种分开的一种开发模式。 M - Mode 阅读全文
摘要:
由于一些特殊原因重装了系统,但因为工作需要,各种环境需要重新配置,但安装完python2.7.5之后,发现2.7没有了scripts目录,pip也没得,百度了一下下,发现解决的办法大都是执行ez_setup.py,试了一下,报错,然后尝试使用安装setuptools,再通过easy_install 阅读全文
摘要:
应用调用图片库对上传的文件进行了图片转换,所以即使将图片与文件合并,也会将尾部转换掉,无法使用上传合成图片马等方式上传webshell。 1、将正常图片用目标的图形库进行转换 2、寻找转换前后两次未变的部分 3、将未变的部分替换为欲上传的webshell 4、将替换后的文件进行图像转换,看是否存在我 阅读全文
摘要:
一、执行java代码 简介 oracle提权漏洞集中存在于PL/SQL编写的函数、存储过程、包、触发器中。oracle存在提权漏洞的一个重要原因是PL/SQL定义的两种调用权限导致(定义者权限和调用者权限)。定义者权限给了低权限用户在特定时期拥有高权限的可能,这就给提权操作奠定了基础。 即无论调用者 阅读全文
摘要:
二次编码注入 1、二次编码注入原理 +,=,&,; http eg: index.php?id=1&username=admin&pwd=123 name=admin= name=admin& 一般情况下,通过web浏览器提交的数据,php代码会自动将其编码回来,如admin%3d会变为admin= 阅读全文