昨天遇到个站,非常奇葩,把客户的评论写到文件里面,而且开了报错。所以就很容易地看出了那个文件的源码,大概是这样的: &...
CTF入门笔记---杂项
目录杂项题的基本解题思路:简单在于用工具1、文件操作与隐写给你一个文件(例如flag藏在国旗里面)1.1文件类型识别(1)file命令 (工具–Linux系统下的文件识别的命令)使用场景:不知道后缀名...
CobaltStrike专题 | CobaltStrike实现网页挂马
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。网页挂马是指:网络攻击...
上传"定时任务"获取系统权限
相关背景 文件上传是系统中比较常见的业务需求,例如上传头像、简历、报表等。但是如果在业务实现过程中没有考虑相关的安全问题(例如没有对用户上传的文件类型做校验或者校验不充分,导致...
CTFSHOW 36D杯 WEB简单的Write-Up
平台地址:https://ctf.show/ 题目质量还是很不错的。本人比较菜,希望能给各位师傅一点小小的帮助 你取吧 打开题目给了源码 php <?php error_reportin...
MYSQL注入 GETSHELL
MYSQL注入 GETSHELL看到mysql写shell的语句有挺多的,学一下记录下来0x01 利用条件123451.mysql用户为root2.secure_file_priv=为空或者在网站根目...
Java代码审计之XXE
关于XEE 漏洞原理 Java中XML内容的解析主要依赖于其丰富的库。XML 的解析过程中若允许加载外部实体,若不添加安全的XML解析配置,则XML文档将包含来自外部 URI ...
这些 Shell 分析服务器日志命令集锦,收藏好了~
自己的小网站跑在阿里云的 ECS 上面, 偶尔也去分析分析自己网站服务器日志,看看网站的访问量。看看有没有黑阔搞破坏!于是收集,整理一些服务器日志分析命令,大家可以试试!1、查看有多少个IP访问:aw...
File Upload关于图片马的思考
相关背景: 在一次Java代码审计中,发现某业务系统进行文件上传业务时,使用了如下的方式进行文件上传的后缀检查 其中FileTypeUtil是hutool(Hutool是一个小而全的Java工具类库 ...
Php安全新闻早8点(2011-11-20 星期日)
http://hi.baidu.com/micropoor '2011-11-20 星期日 '插入篇---asp篇 '程序员的思维 'Micropoor.asp代码片段 dim upload,...
使用 vbs 批量全自动检查友情链接 + 源码
批量检查效果图 想起来很长时间都没有检查过友情链接了,上一次检查大概是:2011-10-14 01:20:00,足足快半年了…… 统计了一下链接数量,有将近70个,如果手工一个一个看的话,实在是操蛋…...
PHP 文件包含之文件路径截断
PHP 文件包含之文件路径截断 以下是网络摘要: 1. 本来还以为挖到金矿了,跟黑哥交流后发现只能应用于Win32平台,使这个BUG的威力暴减,基本没有太大危害了,因为在WIN32平台使用PH...
48