单纯小白

9yue20ri

5关注
2粉丝
36文章
返回网站首页

您已发布 36篇文章作品写文章

XXE实体注入攻击

XXE外部实体攻击,首先,xml能引用实体,内部和外部。这是出问题的根本:有SYSTEM和PUBLIC两个关键字,表示实体来自本地计算机还是公共计算机,外部实体的引用可以借助各种协议,不同的语言支持的协议不同攻击者强制利用XML的某个敏感局域,如system这样的词汇,攻击者利用它,让XML解析器,强制在url上面读取外部内容,强制替换掉原有内容,从而导致攻击行为 题中出现的:<!

 2019-4-13
 0 
 135 

XML 必须五个字以上,我没办法

XML笔记本这个笔记可以不写,社区几乎没人写,但率真,纯洁的我,一定要写,这就是我,李小丑。它很像html,但它不显示,它单纯的传输数据,是一个不显示的数据库,它能自我描述,xml是个纯文本,不会做任何事情,(这里它打了自己耳光,后面可以xpath验证登录。)因此存在了注入,如post万能密码 <?xml version="1.0" encoding=&quot

 2019-4-13
 0 
 16 

反序列化漏洞

反序列化漏洞笔记还是整体思路,不知道我总结的咋样哈:这道题的答案就是,我们要打开读取网站上一个flag.php文件,打开它,当然需要满足打开它的条件,就要看源码,这道题隔路在于,利用源码制作脚本,生成某些“东西”在能传参的位置替换掉,原有代码。从而实现目的。我们先来撸一遍代码:我急眼了。一行一行撸,第一行说,1flag在flag里面,我知道2创建一个类名字叫读取我,真是个惊天地泣鬼神的好名字3类里

 2019-4-12
 1 
 62 

本地包含和远程文件包含

本地文件包含和远程文件包含我并不清楚,拿到后台数据库,为啥不直接在根目录上面写个一句话的php。理论上是行的通的。首先,在数据库里面,建个库,库里面建个表,表上面的字段上面写一句话,表文件名字随意,是个frm后缀文件,这个不要怕,包含进php之后就会当php执行了。剩下的部分就是:如何包含。用seay工具审计下靶场源码,搜索include()内容,index.php 文件中有一处包含的文件名,是从

 2019-4-11
 0 
 241 

黑龙江省mou网络科技公司

黑龙江省mou网络科技公司 所面试的公司:大庆mou科技有限公司(培训机构)薪资待遇:10K+所在城市:黑龙江面试职位:网络安全讲师面试过程:       亲爱的掌控家人们,此面试非彼面试,我是第四期新生,经验——直播课一节,录播课五节,做此分享,仅以身试水,揭开面试盖头,敲开技巧婚门。此次尝试大获全胜,若非名草有主,不仅找到工作,还找到爱情……接

 2019-3-15
 1 
 677 

9yue20ri 前端HTML-编写一个网页

<!doctypehtml><html><head><meta charset="utf-8"><title>第一个前段html页面</title></head><body><h1>自我介绍</h1><p>我是9yue20ri,是一名高中老师,想要

 2019-1-24
 0 
 10