- 博客(15)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 pikachu练习----文件包含
一、文件包含简介和SQL注入等攻击方式一样,文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程就叫做包含。文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 比如 在PHP中,提供了:include(),include_once()re
2021-11-09 17:37:32
267
1
原创 pikachu练习----RCE
一、RCE概念学习RCE英文全称:remote command/code execute,分为远程命令执行ping和远程代码执行evel。漏洞出现的原因:没有在输入口做输入处理。我们常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。其实这就是一个接口,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统,这就是RCE漏洞。Pi
2021-11-09 15:12:21
4246
原创 基于phpstudy搭建pikachu靶场
一、phpstudy下载安装配置phpstudy介绍简单介绍一下phpstudy,详细请参考百度解读。pikachu是基于PHP环境搭建的,需要数据库支持,所以装pikachu之前需要先安装它需要的环境,就像你养鱼需要给它提供水环境一样。安装phpstudy能满足pikachu的需求,所以先安装phpstudy。phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是
2021-11-04 19:05:43
7443
4
原创 MySQL数据库输入密码后闪退问题的解决方法
1 发现问题朋友在学MySQL数据库,推荐我也学一下,把资料都发给我了,不知道我忙些什么,竟然闲置了一个月了,今天打算学习一下,首先安装,安装我一路next,没啥问题都安装好了的,刚开始打开输入密码,没有闪退,输入MySQL命令也是没有问题,就是我遇到一个问题,MySQL需要分号(:)来结尾,我创建数据库表时,由于没有考虑周到,已经输入很多数据了,想回头改,一按快捷键ctrl+C,MySQL命令行窗口就关闭了,在重新打开时输入密码一回车就关闭了,于是在网上查询解决办法。2 解决方案 在出现上述
2021-09-09 12:00:17
28843
9
原创 MSF小练习——MSF的arp_sweep主机存活扫描
原理:在TCP/IP网络环境中,一台主机在发送数据帧前需要使用ARP(Address Resolution Protocol,地址解析协议)将目标IP地址转换成MAC地址,这个转换过程是通过发送一个ARP请求来完成的。如IP为A的主机发送一个ARP请求获取IP为B的MAC地址,此时如果IP为B的主机存在,那么它会向A发出一个回应。因此,可以通过发送ARP请求的方式很容易地获取同一子网上的活跃主机情况,这种技术也称为ARP扫描。Metasploit的arp_sweep模块便是一个ARP扫描器。第一步:在打
2021-08-13 12:38:06
2726
1
原创 HTTP状态码学习
在浏览器上面访问网站时会遇到下面这种情况:其实在浏览网页或是在查看服务器日志时都会遇到。这三位数就是HTTP状态码,用来表示网页服务器HTTP响应状态,简言之就是Web服务器用来告诉客户端发生了什么事。搜狗百科解释道:HTTP状态码(英语:HTTP Status Code)是用以表示网页服务器超文本传输协议响应状态的3位数字代码。HTTP状态码的官方注册表由互联网号码分配局(Internet Assigned Numbers Authority)维护。所有状态码的第一个数字代表了
2021-07-06 17:52:33
123
空空如也
Windows server2003打补丁没反应
2021-07-29
TA创建的收藏夹 TA关注的收藏夹
TA关注的人