喵喵喵喵

flag1随意注册账号后登录，发现已经存在的文章，两篇文章id分别为1和3，手动修改查看2即可获取： ... 続きを読む…

0x00 概要$_SERVER[‘SCRIPT_NAME’]はPHP用の１つ組み込み変数です。ここでは、使用時には、一般的にフィルタリングされません。 fuzzの後、この変数の取得は実際に問題がある、予期しないデータが導入されます。 一部のWebサーバーでは、この変数を直接使用すると、SQLインジェクションまたはxssの脆弱性が発生する可能性があります。 0x01 テストApache/2.4... 続きを読む…

0x00 open_basedir open_basedirは、指定されたディレクトリへのユーザアクセスを制限します。 つまり、ユーザーはサーバー上の指定されたディレクトリ以外のファイルにアクセスできません。 クロスサイトを防ぐためによく使用されます。 open_basedir=/home/wwwroot/home/web1/:/tmp/とすると、web1経由でサーバにアクセスするユーザは... 続きを読む…

問題 運用保守担当者の間違いのため、イントラネット認証ページは外部ネットワークに展開されましたが、幸いにも、開発者はドメイン名の検証が行われました。 Writeup ソースコードを表示し、次のコードを見つけます: 123456789101112ini_set("display_errors",0); $uri = $_SERVER['REQUEST_... 続きを読む…

0x00 概要 sleep、benchmark関数を使用できない場合,より多くの計算量を伴うクエリは,データベースのクエリ時間を長くし、遅延注入の効果を達成する。たとえば、mssqlはこのようなものを使うことができます： 1AND 2333=(SELECT COUNT(*) FROM sysusers AS sys1,sysusers AS sys2,sysusers AS sys... 続きを読む…

1. Android的基本概念1.1 Android的架构 Linux内核 库 Android运行时 应用程序与框架 设备文件目录结构 1.2 Android重要组件 Activity Service Content Provider 1.3 Android应用程序的基本结构 Androidmanifest.xml classes.dex 2.Android应用程序诊断环境2.1 构建... 続きを読む…

1. Android开发工具配置环境，开发工具，测试机或者虚拟机，adb 2. 实践app安全2.2 检查app的证书和签名解压apk文件 12345678输出证书内容keytool -printcert -file META-INF/CERT.RSA查看签名文件内容cat META-INF/CERT.SF查看证书openssl pkcs7 -inform DER -in... 続きを読む…

新域名，之后在这边更新吧 Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me ... 続きを読む…

简介主要介绍了CVE-2014-6271漏洞的利用。这个漏洞影响Bourne Again Shell “Bash”。Bash通常无法通过web应用程序访问，但可以通过公共网关接口（Common Gateway Interface “CGI”）间接接触。 指纹识别通过代理（Burp Suite 或者 OWASP Zap）访问web应用程序，我们可以发现当页面被加载时访问了多个URL： ... 続きを読む…

SQL注入检测检测方法已经在“From SQL Injection to Shell”中详细描述过。唯一的区别是错误信息： 1Warning: pg_exec(): Query failed: ERROR: unterminated quoted string at or near "'" LINE 1: SELECT * FROM pictures where ... 続きを読む…