XXE 漏洞学习 XXE 漏洞学习 原理 XXE注入是一种Web安全漏洞,它使攻击者能够干扰应用程序处理XML数据的方式。成功利用漏洞可以使攻击者查看应用程序服务器中的文件,并与应用程序可以访问的任何外部或后端系统进行交互。 XML格式 XML代表可扩展标记语言,它像HTML,有一个树状的标签和数据结构,但XML没有预定义的标记,如h1,img,div,等; 标签是根据其表示的数据自定义命名的。 XML实体 2021-05-12 web学习 学习 web学习
sqli labs master 学习 sqli labs master 学习 Less 1 1.首先判断注入点 在http请求后加上?id=1’ and 1=1 – -,显示如下 把后面改为1=2显示如下,可以看到sql语句应该是正常执行了,没有报错 可以说明存在字符型注入,猜测语句为select… where id=’’这样的语句。 接下来判断注入点 判断字段数 输入?id=1’ order by 3 – -时候会显示如下, 2021-05-11 web学习 学习 web学习
unlink漏洞学习 堆的unlink漏洞学习 前言 做实验做到的堆部分,第一个就是这个,以前没怎么详细做过堆的题,理解起来真的困难,看了几天才能理解,还是太菜了。就决定要把这个记录下来TAT Unlink基本原理 Unlink的目的是把一个双向链表中的空闲块拿出来(例如 free 时和目前物理相邻的 free chunk 进行合并)。其基本的过程如下 目的是为了把图中的P拿出来,然后使FD->bk=BK 2021-04-15 PWN学习 学习 PWN学习
CUMTCTF春季赛-PWN 首先庆祝一下咋队得第二吧(原来是第二的,把密码学交了就显示第一了,当时没做出来) PWN1 查看程序,逻辑是读取你输入的字符串,然后和CUMTCTF对比,如果通过就执行bin/sh 在比较前下个断点,进行调试,发现此时对比的是地址0x4008d5 在看程序中输入的格式是“ld”,说明我们只能输入长整形,所以我们把0x4008d5转换为10进制进行输入4196565,然后调试.,发现此时验证 2021-03-30 PWN学习 学习 PWN学习
HTTP协议学习 HTTP协议学习 http和https的区别: HTTP 的URL 以http:// 开头,而HTTPS 的URL 以https:// 开头 HTTP 是不安全的,而 HTTPS 是安全的 HTTP 标准端口是80 ,而 HTTPS 的标准端口是443 在OSI 网络模型中,HTTP工作于应用层,而HTTPS 的安全传输机制工作在传输层 HTTP 无法加密,而HTTPS 对传输的数据进行加密 2021-03-26 学习 web学习 http
攻防世界刷题记录 攻防世界-pwn-int_overflow-整数溢出 1.先检查程序,没有开启canary和pie 2.使用ida查看函数,main函数里会让你输入一个数字,当输入1时调用login() 查看login()函数 这里的第二个read函数读取的长度为0x199 然后再查看check_passwd函数 这里的v3是unsigned_int8型,存储8个字节,最多存储256 2020-12-13 PWN学习 学习 PWN学习
Hexo启用搜索功能(图片测试) Hexo启用搜索功能 1.首先在Hexo的根目录下执行以下命令 1npm install hexo-generator-searchdb --save 有WARN没关系,最后还是可以用的 2.在全局配置文件_config.yml,新增如下内容 12345search: path: search.xml field: post format: html limit: 10000 3.在 2020-09-25
