xxe攻击(2)
顺便记录一下常用的linux文件路径,以便抄作业 开始实战, 2_n3ed_p00000000000000000000000w3r!!!!!!!!!!!!!!!!!!!!! fake_xml NCTF这道题是假的xxe攻击题,flag在页面就能找到,实际上用来熟悉一下操作 常用php伪协议:file:// — 访问本地文件系统http:// — 访问 HTT
xxe攻击(1)
菜鸡脑容量有限,学完删 XXE全称balabala,即xml外部实体注入 为此首先需要了解xml,在w3school学习后做了些笔记以备忘 其次需要学习php伪协议、php解析xml的一些功能函数 还有 xml很像html,用于标记文件,使其具有结构性,是标记性语言(类似ppt….个p)但xml是为了传输、存储数据,而8是显示数据 xml不做任何事情,也就是纯文本,用来存储、传输信息,类似json
.jpg)
二维码补全
总结直接上总结: 二维码右半部分是数据区(存储数据),左半部分是校验区(验证扫到的二维码有没有缺漏啥的),左上、左下、右下左上的那几个大小方块叫做定位块(顾名思义就是用来定位二维码的) 根据上面这段话阔以得出以下结论:1、有了右半部分就相当于有了全部数据2、在右半部分和左半部分都有一定缺失的情况下,若缺失在一定比例,则仍可以获得信息 (这是根据1个叫里德-所罗门的纠错算法实现的,涉及数学并8需要理
php反序列化姿势学习&一些绕过
反序列化漏洞,web入门基础之一,记录了一些姿势和绕过 php反序列化漏洞的原理,俺觉得这篇文章讲的8错,适合php0基础小白: 链接总结:unserialize漏洞依赖几个条件:unserialize函数的参数可控脚本中存在一个构造函数(__construct())、析构函数(__destruct())、__wakeup()函数中有向php文件中写数据的操作的类所写的内容需要有对象中的成员变量的
xdu抗疫CTF
挺有收获的比赛,本fw被kill7imer师傅带飞,也让俺看到自己和大佬之间的巨大差距 分个人赛(萌新赛)和队伍赛,挑里面8会的题记录学习一下 未全写完,挖坑。。。。。 web打飞机一个页面游戏,要达到5000分才能看flag,无法抓包,所以推测应该是控制台输入,但是没学过js,只能胡乱试,后来发现在f12控制台输入score=1000000000, 就阔以获取flag了 让我访问进去后
正则表达式备忘速查
因为平时不怎么用,而要用的时候老是忘….就干脆把常用的做个笔记 特殊字符^:1、匹配输入字符串的开始位置2、[^]表示[]内的内容不匹配eg:^[^ABC]$ $:匹配输入字符串的结尾位置 +:匹配单个或多个eg:^[0-9]$匹配单个数字,^[0-9]+$匹配多个数字)(可不是拼接的意思)^fu+Ck$,可匹配fuCk、fuuuuuuuuuuuuuuuuuuuuCk、fuuuuCk,不可匹配fc
open和fopen区别、虚拟内存
其实没必要水的,然而就是老记混open和fopen,于是顺便学学其他的 1234567891011121314151617181920212223242526#include<stdio.h>#include<fcntl.h> //文件控制库int main(){ int f1=open("D:\\desktop\\dick.txt"