摘要:
工具:Teensy 2++(随便淘宝买的,几十块钱) 大概长这个样子 简单说一下功能,第一次玩,也不是很熟悉: 这个东东可以插进电脑可以模拟成一个鼠标键盘,里面是烧好我们写好的代码,插进电脑,就会自动执行我们的代码,说简单点,就是这个东西可以模拟出鼠标键盘的操作 编译工具: arduino-1.6. 阅读全文
摘要:
这道是源码题, 源码: 源码很简单,我觉得考得主要是细心 直接看第一个if, 判断是否上传了一个文件,然后进去判断是否POST了一个名为file的参数,如果有上传这个参数,那么$filename就等于这个POST上去的值,否则就等于上传上去的文件名 然后下面判断$filename是否是一个array 阅读全文
摘要:
这道题目是一道代码审计题 源码: 题目思路是:变量覆盖,反序列化漏洞 看到源码里面有parse_str()函数,这个函数如果没有带array()这个参数,将会导致变量被重新赋值 过first http://192.168.133.167:88/web2/index.php?first=doller 阅读全文
摘要:
第四届上海大学生信息安全比赛 web1 题目做到最后一步,不知道为什么会选择在那里进行文件的读取,下面用代码审计的方式做一次 源码: 源码比较简单,前面的不看,直接看后面一步, 这里将传进来的url进行url的切割,判断[‘host’] 是否是www.ichunqiu.com 补充一下知识 例子: 阅读全文
摘要:
根据文章: https://mochazz.github.io/2018/09/12/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1Day11%20-%20unserialize%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6 阅读全文
摘要:
第一次学习审这样的源码,主要参考两篇文章: 1、https://mochazz.github.io/2018/09/12/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1Day11%20-%20unserialize%E5%8F%8D%E5%BA%8F%E5%88%97%E5 阅读全文
摘要:
这源码考的是php的反序列化漏洞 所谓的反序列化漏洞就是将一个对象进行序列化变成一个字符串,当这个字符串被反序列化的时候,如果这个字符串里面对应的对象的一些参数变化了,那么当再一次调用这个对象这个参数的时候,那个参数就会被改变成字符串所构造的那个数据。 一般来说,反序列化的漏洞都是由魔术方法导致的 阅读全文
摘要:
网易云的每日推荐是每天的早上6点钟更新的,感觉应该没有保存在数据库中的 所以这里抓取一下 在代码中修改账号密码,然后就可以记录每日推荐,可以在写一个定时启动的小程序,定时启动这个脚本,就可以实现每天记录下网易云的音乐了 不分析过程,直接附上代码 代码在我的GitHub:https://github. 阅读全文
摘要:
python模块selenium使用 我使用的是python2.7 可以直接用pip install 安装 这里记录一下,我使用这个模块编写爬虫的学习 做爬虫,我之前都是使用requests 模块写的,如果简单的爬虫,用这个模块确实可以,但是,如果我们要爬取一些比较复杂的网站,如果直接用这个模块写的 阅读全文
摘要:
代码在我的GitHub上面有,为了防止有人利用代码故意发送恶意弹幕,这里不作详细的代码编写过程 代码的编写仅仅是为了学习,不作任意的其他事情。 如果使用代码恶意发送弹幕,后果自负 GitHub链接:https://github.com/niechaojun/Douyu_Barrage 阅读全文