勋章
我关注的人
粉丝
技术能力
暂时未有相关云产品技术能力~
暂无个人介绍
-
发表了文章 2024-04-24
xiaodisec day028
Day 28探讨了SQL注入,关注点在于提交方式的注入。PHP、Spring Boot和Flask中的GET、POST、COOKIE数据提交都可能引发安全问题。后端处理数据时,如记录IP、根据UA显示页面或文件上传可能导致SQL注入。使用sqlmap工具进行黑盒测试,通过修改数据包或指定POST数据来探测注入点。实战中,CMS系统记录IP访问可能产生注入风险,可以利用工具如Seay代码审计系统进行监控和检查。
-
发表了文章 2024-04-24
xiaodisec day023
Day23 Python 知识讲解聚焦于`pyc`反编译和`SSTI`(模板注入)。`pyc`是跨平台的编译结果,常在CTF中出现。`SSTI`发生在Web应用,当错误处理不当,允许注入代码执行,404页面可能是切入点。实战中判断SSTI和建站语言(如Python)需观察回显和使用工具如fofa。黑盒测试SSTI颇具挑战。
-
发表了文章 2024-04-24
xiaodisec day031
`#day31` 文件上传漏洞探讨:涉及 CMS 中的文件上传,通常需配合抓包工具。绕过前台验证和 MIME 验证(如变造 `content-type`),利用大小写或.php伪装上传。当.php被过滤时,可试用短标签`<= 'php代码'>`。若过滤括号,则可能无法构造有效payload。文件头过滤常用于防止非正常文件上传,而.user.ini文件能包含后门代码实现命令执行。同时,修改`user-agent`为PHP木马以尝试通过日志记录通道触发。总结:上传漏洞利用策略多变,关键在于识别并绕过安全防护措施。
-
发表了文章 2024-04-24
xiaodisec day024
本文介绍了SQL注入的相关知识,包括Access和MySQL数据库的注入。漏洞源于特定变量和函数,可通过网址参数或抓包发现。注入语句位置与字段相关。工具流程包括猜测数据库类型,如ASP配Access,然后通过ORDER BY和UNION查询列数。在Access中尝试偏移注入,MySQL中可能涉及文件读写和跨库查询。判断是否为root用户可用`user()`函数,MySQL5.0以上可查information_schema数据库获取详情。示例网址:`https://www.crfbehavioralhealthcare.org/researchDetails.php?id=MS==`。
-
发表了文章 2024-04-24
xiaodisec day026
`day26`探讨了Oracle与MongoDB的SQL注入,强调手动注入技巧。尽管`sqlmap`工具不支持NoSQL,它提供了一些选项,如清除缓存(--purge)、查看当前数据库(--current-db)和数据转储(--dump)。通过-r参数可以利用保存在TXT文件中的数据包进行测试,文件内星号(*)标记注入点,例如`username=admin*`。Metasploit Framework(MSF)未详述。
-
发表了文章 2024-04-24
xiaodisec day 011
在网络安全领域,Day11探讨了信息收集工具,如Fofa、Quake、Kunyu、Suize(水泽)和Ari(灯塔),以及Shodan和ZoomEye这四大搜索引擎。Fofa和Quake是常用的资产发现工具,用于查找中间件、OS及特定端口的资产。GitHub上有s7ckTeam/Glass和EASY233/Fighter等资源。灯塔和水泽提供综合服务,集成多种引擎,水泽可能更易用。OneForAll专注于子域名查询,虽自动化程度低但功能强大。
-
发表了文章 2024-04-19
XiaodiSec day007 Learn Note 小迪渗透学习笔记
XiaodiSec Learn Note explores CMS identification for web asset analysis. Tools like CloudSee (yunsee.cn) and 7kb aid in detecting CMS types, with clues often found in website info, images, or source code leaks from Git, Gitee, SVN, DS_Store, and composer.json.
-
发表了文章 2024-04-19
XiaodiSec day008 Learn Note 小迪渗透学习笔记
小迪的渗透学习笔记探讨了网络安全,包括确定目标服务厂商和网络架构(外网与内网)、端口扫描(工具如nmap和masscan)以及应对Web服务器在内网的情况。笔记还提到了旁站攻击、C段扫描、IP反查、CDN理解、WAF检测(wafw00f)、负载均衡识别(lbd)和防火墙分析,特别指出在大企业中检测的复杂性。
-
发表了文章 2024-04-19
XiaodiSec day009 Learn Note 小迪渗透学习笔记
XiaodiSec Learn Note探讨了CDN的工作原理,如何判断CDN的使用,包括通过ping和nslookup检查。CDN加速可指定域名和资源,选择加速区域。绕过CDN的策略涉及历史记录、社工、地域差异、特定资源定位和SSRF漏洞。案例分析和工具如fuckcdn、zmap、whois和hosts文件绑定用于查找和管理真实IP。
-
发表了文章 2024-04-15
ctfshow小记sql注入
ctfshow小记sql注入
-
发表了文章 2024-04-15
[CTF]ctfshow web入门
[CTF]ctfshow web入门
-
发表了文章 2024-04-15
“快捷方式指向的驱动器或网络连接不可用” 解决方法
“快捷方式指向的驱动器或网络连接不可用” 解决方法
-
发表了文章 2024-04-15
设备管理中的虚拟机vmware网卡异常
设备管理中的虚拟机vmware网卡异常
-
发表了文章 2024-04-15
Anaconda 与 Jupyter notebook
Anaconda 与 Jupyter notebook
-
发表了文章 2024-04-15
[dvwa] insecure CAPTCHA
[dvwa] insecure CAPTCHA
-
发表了文章 2024-04-15
Git代码版本管理入门
Git代码版本管理入门
-
发表了文章 2024-04-15
在IDEA中更改了代码,浏览器中仍运行先前的代码
在IDEA中更改了代码,浏览器中仍运行先前的代码
-
发表了文章 2024-04-15
【Android Studio】缺少输入自动补充(已解决)
【Android Studio】缺少输入自动补充(已解决)
-
发表了文章 2024-04-15
【C++】凯撒密码 实现加密与解密
【C++】凯撒密码 实现加密与解密
-
发表了文章 2024-04-15
【Java Web】在 IDEA 中部署 Tomcat
【Java Web】在 IDEA 中部署 Tomcat
-
发表了文章 2024-04-15
[dvwa] sql injection
[dvwa] sql injection
-
发表了文章 2024-04-15
陇剑杯 流量分析 webshell CTF writeup
陇剑杯 流量分析 webshell CTF writeup
-
发表了文章 2024-04-15
[CTF]ctfshow文件包含
[CTF]ctfshow文件包含
-
发表了文章 2024-04-15
[dvwa] CSRF
[dvwa] CSRF
-
发表了文章 2024-04-15
【C语言】用三种循环语句 计算1到1000之间能被2或3整除的数的总和
【C语言】用三种循环语句 计算1到1000之间能被2或3整除的数的总和
-
发表了文章 2024-04-24
xiaodisec day021
该内容涉及JavaWeb、WebGoat的Path Traversal、JWT安全及隐藏属性。讨论了JWT的身份验证机制,包括其组成、解密和潜在的安全风险,如空密钥利用。还提到了隐藏属性在水平越权漏洞中的作用,以及识别易受攻击组件的方法,如查看import语句和搜索漏洞。
-
发表了文章 2024-04-15
Linux&Windows 日志分析 陇剑杯 CTF
Linux&Windows 日志分析 陇剑杯 CTF
-
发表了文章 2024-04-15
陇剑杯 流量分析 CTF writeup
陇剑杯 流量分析 CTF writeup
-
发表了文章 2024-04-15
kali 简单入门
kali 简单入门
-
发表了文章 2024-04-15
[dvwa] xss reflected
[dvwa] xss reflected
-
发表了文章 2024-04-15
sql server 服务无法启动
sql server 服务无法启动
-
发表了文章 2024-04-15
vscode + phpstudy 环境配置(未完成)
vscode + phpstudy 环境配置(未完成)
-
发表了文章
2024-05-15
xiaodisec day028
-
发表了文章
2024-05-15
xiaodisec day023
-
发表了文章
2024-05-15
xiaodisec day032
-
发表了文章
2024-05-15
xiaodisec day017
-
发表了文章
2024-05-15
xiaodisec day019
-
发表了文章
2024-05-15
xiaodisec day016
-
发表了文章
2024-05-15
xiaodisec day014
-
发表了文章
2024-05-15
xiaodisec day010
-
发表了文章
2024-05-15
xiaodisec day031
-
发表了文章
2024-05-15
xiaodisec day024
-
发表了文章
2024-05-15
xiaodisec day22
-
发表了文章
2024-05-15
xiaodisec day026
-
发表了文章
2024-05-15
xiaodisec day025
-
发表了文章
2024-05-15
xiaodisec day015
-
发表了文章
2024-05-15
xiaodisec day 011
-
发表了文章
2024-05-15
XiaodiSec day007 Learn Note 小迪渗透学习笔记
-
发表了文章
2024-05-15
XiaodiSec day008 Learn Note 小迪渗透学习笔记
-
发表了文章
2024-05-15
xiaodisec day029
-
发表了文章
2024-05-15
xiaodisec day018
-
发表了文章
2024-05-15
xiaodisec day020
