网易博客网站关停、迁移的公告:

将从2018年11月30日00:00起正式停止网易博客运营
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

__p@rano1d

Become @ programmer

 
 
 
 
 
 

CTF线下赛留后门的一些思路

2017-7-13 11:38:59 阅读574 评论0 132017/07 July13

主要是思路,大概就是把getflag的条件写在配置文件,在header头做手脚。把getflag的命令写在配置文件,配个demo使用。在自己的浏览器改ua就能看见flag了。

<?php
echo 'hello';
$flag = 'ss';
if (@$_SERVER['HTTP_USER_AGENT'] == 'flag'){
header("thisisflag:$flag");
}

?>


作者  | 2017-7-13 11:38:59 | 阅读(574) |评论(0) | 阅读全文>>

文件包含的一些需要注意的事

2016-10-25 11:12:53 阅读38 评论0 252016/10 Oct25

1.造成文件包含的有4种函数,include,include_once,require,require_once。once是只调用一次重复的文件。require()函数会报错终止,而include会报错继续执行下面代码。

2.远程包含需要开启allow_url_include。

3.以include为例子:

作者  | 2016-10-25 11:12:53 | 阅读(38) |评论(0) | 阅读全文>>

CTF的靶机存活扫描

2016-10-20 21:14:59 阅读409 评论0 202016/10 Oct20

实战或者打CTF避免不了要知道目标或者对方靶机IP是什么。实战的话可以用nmap或者lijiejie的脚本扫端口就行了。而打CTF就要用到扫描脚本了,有时候主办方会给出IP段,有时候就不会给了。

作为搅屎又垃圾,经常跟素质特低的队友在比赛现场吃溜溜梅等零食的人,上次就中了ISCC的招。
渗透第一天,easy的bash漏洞,几分钟找到Payload,然后命令目录搞错了,一直没弹到shell和getflag,后来找对目录就行了。

作者  | 2016-10-20 21:14:59 | 阅读(409) |评论(0) | 阅读全文>>

#1 MySQL报错注入

2015-10-28 14:46:25 阅读93 评论0 282015/10 Oct28

报错注入是一种基于回显错误的注入。
通常在注入时,加个  ‘  (单引号)就会报错,通过报错就能得到想要的信息。


rand(0)是把0作为生成随机数的种子。首先明确一点,无论查询多少次,无论在哪台MySQL Server上查询,连续rand(0)生成的序列是固定的。引入floor会引起MySQL报错Duplicate entry。

在知乎上说道:

作者:路西法
链接:http://www.zhihu.com/question/21031129/answer/16996578
来源:知乎

rand和group by 产生冲突

作者  | 2015-10-28 14:46:25 | 阅读(93) |评论(0) | 阅读全文>>

Python学习笔记——初探

2015-10-14 19:03:19 阅读23 评论0 142015/10 Oct14

Python是一门接近人类语言的,自由度高且入门简单的语言。


一、初探

进入交互:终端输入python

root@cra:~/python# python
Python 2.7.3 (default, Mar 13 2014, 11:03:55)
[GCC 4.7.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>>

·  源代码
        

作者  | 2015-10-14 19:03:19 | 阅读(23) |评论(0) | 阅读全文>>

查看所有日志>>

 
 
 
 
 
 
 
 

吉林省 辽源市 摩羯座

 发消息  写留言

 
博客等级加载中...
今日访问加载中...
总访问量加载中...
最后登录加载中...
 
 
 
 
 
 
 
心情随笔列表加载中...
 
 
 
 
 
 
 
列表加载中...
 
 
 
 
 
 
 
 
留言列表加载中...
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018

注册 登录  
 加关注