原创 ***f漏洞結合騰訊雲獲取敏感信息及***f防禦
測試實踐***f漏洞應用與防禦 概要 此次測試爲公司內部站點測試,測試出了衆多常見的xss、文件上傳、訂單邏輯漏洞。不過這裏只介紹一個f漏洞以作學習,這是一個大佬從代碼中發現的,我過來學習一下,同時做個總結。之所以總結這一個,或許是因爲從
2019-12-25 13:57:59
1
原创 jenkins持續集成--看我如何從1到代碼自動部署
jenkins持續集成看我如何從1到代碼自動化部署 背景 近期由於工作原因需要學習jenkins持續化集成。對於一個好學又帥氣的我來說。學習他還不是手到擒來。公司爲一箇中小型創業公司,在部署代碼上面,很少用gitlab、jenkins等等
2019-12-21 13:53:55
原创 蟻劍xss漏洞,獲取***者shell
今日在github上看到蟻劍暴露了一個xss漏洞,自己也經常使用蟻劍。同時在freebuf上也有一篇文章,關於蟻劍漏洞的。閒着沒事測試了一波。 一、漏洞成因 蟻劍shell遠程連接失敗時,蟻劍會返回錯誤信息,但因爲使用的是html解析,導致
2019-04-16 13:25:41
原创 記錄一下學習PDO技術防範SQL注入的方法
最近學習了使用PDO技術防範SQL注入的方法,在博客裏當做一次筆記。若果有新的感悟在來添上一筆,畢竟也是剛開始學習。一、 什麼是PDO PDO全名PHP Data Object PHP 數據對象 (PDO) 擴展爲PHP訪問數據庫定義
2019-02-22 22:29:03
原创 PHP創建數組的方法和url可以傳遞數組解析
問題:爲什麼在url中可以使用url?a[]=123的形式傳遞數組。問題起源:來自一道hash函數漏洞的題目,當函數處理數組的時候,可以利用函數的漏洞。傳遞數組需要在url中傳遞。當時也是對php瞭解不夠透徹,數組的形式只知array()的
2019-02-22 22:29:03
2
原创 mariadb數據庫部分版本修改登錄密碼後仍能空密碼登錄問題
Mariadb數據庫修改完密碼還能使用空密碼登錄問題 既然能找到這篇文章相信您對數據就有了一定的瞭解,我也不在贅述這個數據庫的基礎相關知識了,在這裏指針對“數據庫修改完密碼並執行flush privileges命令後還可以空密碼登錄”的問題
2019-01-17 13:06:34
原创 記一次靶場搭建後的***測試
記一次靶場搭建後的***測試 拓撲: 操作環境: 操作機: KaliIP:172.16.5.204 Web網站: Ubuntu14IP:172.16.2.101 漏洞信息: phpmyadmin4.0.x-4.6.2遠程代碼執行
2019-01-12 13:08:23
原创 word文檔(選擇題)轉換爲excl表格
Word轉excl表格 同事在做一個批量性的工作,就是將word文檔中的題目和選項,轉移到xml文檔中。實例:轉: 再網上有很多將各種文檔轉化的工具和例子,但是很少有將固定格式進行轉化的。 因爲在這之前也是不明所以,老大直接讓寫個腳本,本能
2018-12-25 13:11:12
1
原创 CentOS7中rc.local中的指令不能生效問題。
問題:在系統中/etc/rc.local設置自啓動命令的時候,重啓計算機,文件中的指令無法生效。 我這裏編譯安裝了一個mongodb數據庫的服務,然後修改了環境變量。寫入到了.bash_profile 文件中,在shell中可以直接執行命令
2018-12-16 13:05:32
1
原创 搭建centos7+apache+mongodb+php環境
搭建centos7+apache+mongodb+php環境 最近在做一個關於nosql注入的實驗,需要搭建數據庫是mongodb的數據庫網站環境環境。但是本人對mongodb數據庫瞭解甚少,所以在搭建的過程中遇到了很多問題。因爲菜,所以學
2018-12-15 13:05:17
1
原创 php隨機函數mt_rand()產生的小問題大漏洞
**說到隨機函數的應用,作爲一個菜鳥,理解的也不是很深刻,在這裏之作爲一個筆記來記錄,以後慢慢將其掌握之後,再在內容上面進行加深。 隨機函數的作用,常常是用來生成驗證碼、隨機文件名、訂單號,如果用來做安全驗證的話常常用來生成加密key、to
2018-11-23 02:18:26
3
原创 背起行囊去遠方
....2018年11月15日晚上10:35分,一輛由煙臺發往北京的綠皮火車緩緩行駛。10車廂,一片安靜,只有18中鋪泛着亮光久久不能入睡。....今天是我正式離校開始實習的日子,我懷揣這20萬的夢想和遠處等待我的她起航,這對我來說本來是個
2018-11-16 02:12:07
原创 Python中input()函數漏洞及與raw_input()函數區別
Python中input()函數漏洞 一、函數簡介: input()函數是python中的內置函數,函數作用是從stdin中讀取數據 喜歡python2的朋友都知道python中有兩個常見的輸入函數:input()函數和raw_input(
2018-10-16 02:15:03
15
原创 對python3編碼那些事的小小總結
一、 瞭解一下編碼的發展。1、 計算機只能處理數字,如果需要處理文本,需要先將文本轉換爲數字。因爲計算機是美國梆子發明的,所以他們發明了最早的編碼--ASCII編碼,也就是將他們的大小寫字符數字和一些符號編碼得到計算機中。比如A的編
2018-09-20 02:42:41
原创 windows server 2003搭建CA服務器並啓用https(SSL)
本文簡單講解在Windows server 2003上如何搭建CA服務,並啓用SSL。廢話不多說,直接開始搭建環境。想要知道證書服務器CA是怎麼一回事,或想要知道SSL原理的朋友,請自行百度,說的非常清楚一、 搭建證書服務器1、 在
2018-09-19 02:41:29
2