PHP
如何开发一套苹果cms前端模板
本文运用了苹果cms官网的模板开发教程,开发了一套苹果cms的前端模板,感兴趣的同学可以去github下载使用。 什么是模板 模板是网站的主题外观,也被称为主题或皮肤。通过使用不同的模板,网站的前台可以以不同的样式展示。这就像人们的服装一样,人们打扮得漂亮会吸引人,同样地,一个好看的模板不仅能吸引用户的第一眼,还可以更加人性化地展示网站的功能给用户。所以选择一个合适的模板对于网站的吸引力和用户
2023-7-28、29 文件监控和ssrf
27晚上+28、29写了个文件监控的脚本,目前除了基本的监控只有自动删除新增文件和自动恢复被删文件的功能 这点ssrf是28号的,先发了,要不不知道要拖到啥时候,等明天把脚本和剩下的发了 ssrf 进去之后是这样的 让我们访问flag.php 只能来自127.0.0.1 伪协议 直接读试试 提示里说了伪协议,rce的时候应
apache apache_parsing_vulnerability
Apache两个解析漏洞复现及防御方法 - FreeBuf网络安全行业门户 1、介绍 名称:apache apache_parsing_vulnerability 编号: 原理: 应用:apache 版本: 2、测试 2.1 靶场搭建 2.2 测试过程 (1)上传b.php.jpg <?php eval(@$_POST['axx']); ?> (2)中国蚁剑连接 3、漏洞防护
wordpress pwnscriptum
vulhub/wordpress/pwnscriptum/README.zh-cn.md at master · vulhub/vulhub · GitHub (191条消息) 漏洞复现-Wordpress 4.6 PwnScriptum RCE命令执行_wordpress rce_amingMM的博客-CSDN博客 1、介绍 名称:Wordpress 4.6 任意命令执行漏洞 编号: 原理:漏洞
PHP调用API接口的方法及实现
随着互联网、云计算和大数据时代的到来,越来越多的应用程序需要调用第三方的API接口来获取数据,实现数据互通和协同工作。PHP作为一种常用的服务器端语言,也可以通过调用API接口来实现不同系统的数据交互和整合。本文将介绍PHP调用API接口的方法及实现过程。 一、API接口简介 API(Application Programming Interface),应用程序编程接口,是一种用于不同应用程序之间
Upload-labs文件上传靶场通关---{持续更新中}
Upload-labs文件上传靶场搭建方法请查阅另一篇Blog:基于Ubuntu20.04搭建Upload-labs文件上传靶场 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共21关,每一关都包含着不同上传方式。 以下是Upload-labs文件上传靶场中包含的文件上传漏洞类型: Pass-0
Sqli-labs靶场之SQL手注通关详解(Less 1~10)
Less-1 GET - Error based - Single quotes - String 判断注入点,这里的页面中没有可以注入的地方,因此可以判断注入点在url栏。 判断注入类型 id=1 and 1=1 页面正常 id=1 and 1=2 页面正常 id=1' and 1=1 --+ 页面正常 id=1' and 1=2 --+ 页面正常 由此可以
.NET CORE一步一步实现一个简易JWT鉴权
鉴权、授权专题之简易鉴权 我记得作为实习生去公司上班的时候,领导就直接让我熟悉注册、登录逻辑!!!emm 用他的话来说就是这部分跟业务关联性不是很大,你先看看。。。登录,注册是跟业务逻辑不咋挂钩,但是对框架得熟悉呀!好吧,自此咱就开始了搬砖路咯~ 安装需要的Nuget包 System.IdentityModel.Tokens.Jwt 包含了用于提供创建、序列化、验证Json Web
浅谈SQL注入及其防御方法
昨晚跟学生们在群里讨论到什么是SQL注入的时候, 硬挤出来了一个比喻. 码字不易, 特整理记录如下. 首先, 电脑里面的语言分两种, 编译型, 解析型(脚本型). 比如PHP就是解析型, C就是编译型. 由于SQL语句可以在这两类语言下执行, 所以为了充分明白是什么导致了SQL注入漏洞, 我们先来讨论一个问题: 什么是SQL注入漏洞的通用表现形式, 它的本质是什么? &n
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
Vulhub - Docker-Compose file for vulnerability environment 1、介绍 名称:Apache HTTPD 换行解析漏洞 编号:CVE-2017-15715 原理:Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,1.phpx0A将被按照PHP
OpenDiary 2023.7
听说现在流行 public 日记。 7.15 齐齐哈尔 -> 石家庄高铁,坐 10+ 小时 回家! 7.16 电脑爆掉了,一枚震撼人心的 RTX 4060 在独显直连下跑着跑着就不跑了,怎么回事呢 找人 remake 了驱动,但是害怕不靠谱,最后 remake 了系统 硬件驱动,玄学 7.17 画速写 & 摸鱼 & 睡觉 速写好难 好多地方放个绘画教程都要擦边,唉😔 买了网
CTFer成长记录——CTF之Web专题·buuctf—secretfile
一、题目链接 https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]Secret%20File 二、解法步骤 打开网页: 看看源码: 访问下: 继续看源码: 继续访问: 发现并没有跳转到action.php这个地方,而是到了end.php,猜测这里有猫腻。用
Attention机制竟有bug?Softmax是罪魁祸首,影响所有Transformer
前言 「大模型开发者,你们错了。」 本文转载自机器之心 仅用于学术分享,若侵权请联系删除 欢迎关注公众号CV技术指南,专注于计算机视觉的技术总结、最新技术跟踪、经典论文解读、CV招聘信息。 CV各大方向专栏与各个部署框架最全教程整理 【CV技术指南】CV全栈指导班、基础入门班、论文指导班 全面上线!! 「我发现注意力公式里有个 bug,八年了都没有人发现。所有 Transformer 模
[BJDCTF 2020]easy_md5
[BJDCTF 2020]easy_md5 题目来源:nssctf 题目类型:web 涉及考点:弱比较、SQL注入 1. 题目给了一个传入口,先随便传点数据 发现传入什么都没有回显,尝试抓包: 在相应包中看到hint: 这里介绍下md5函数的知识点: md5($a):返回a字符串的散列值 md5($a,TRUE):返回a字符串散列值的16进制转ascii码值(个人理解,若理解错了请
7.安装notepad_,配置path环境变量
7.安装notepad++,配置path环境变量 【1】安装记事本:notepad 【2】安装:一直下一步 【3】打开记事本进行设置: 设置--》首选项: 设置--》语言格式设置: 【4】打开notepad++: (1)方式1:通过快捷方式: (2)方式2:通过可执行文件: (3)方式3:利用控制命令台: win+r-->cmd: (4)方式4:在任意的路径下去执行notepa
pikachu靶场搭建
资源下载 官方下载地址:https://github.com/zhuifengshaonianhanlu/pikachu 环境搭建 创建一个新的数据库,库名用户和密码自定义 需要修改两个文件,第一个: ,第二个在 配置好后如果有这个 在url搜索install.php 点击安装/初始化即可
centos7 k8s 三节点 全二进制部署 1.23.15
主机名 IP地址 Pod 网段 Service 网段 master 192.168.1.60 172.16.0.0/12 10.96.0.0/16 node01 192.168.1.70 172.16.0.0/12 10.96.0.0/16 node02 192.168.1.80 172.16.0.0/12 10.96.0.0/16 系统优化 配置hosts 配置y
我写的蓝宝石留言本v7.0
蓝宝石留言本v7.0 1.美工上,把每个留言的显示,和管理员回复,改为了圆角表格。 2.留言和回复界面增加了表情功能。3.首页和管理界面分别增加了单个留言显示的连接功能和拷贝连接功能。4.加入了高级功能,sql语言执行。5.对手机端自适应进行了改版,更加符合手机端的习惯。6.加入了访客ip地址转实际地址的功能。 下载地址:https://down.chinaz.com/soft/32477.htm
推荐带500创作模型的付费创作V2.1.0独立版系统源码
ChatGPT 付费创作系统 V2.1.0 提供最新的对应版本小程序端,上一版本增加了 PC 端绘画功能, 绘画功能采用其他绘画接口 – 意间 AI,本版新增了百度文心一言接口。 后台一些小细节的优化及一些小 BUG 的处理,前端进行了些小细节优化, 针对上几版大家非常关心的卡密兑换 H5 端及小程序端均正常,该版本为编译版无开源端。 开源版近期会单独更新,注意 PHP 版本选择 7.4 演示地
WEB漏洞—反序列化之php&java(上)
PHP 反序列化原理: ---未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 ---其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) ---在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 ---序列化函数:serialize()
一句话木马绕过D盾查杀
一句话木马绕过D盾查杀 关于eval函数 eval是⼀个语⾔构造器⽽不是⼀个函数,不能被可变函数 调⽤可变函数:通过⼀个变量,获取其对 应的变量值,然后通过给该值增加⼀个括号(),让系统认为该值是⼀个函数,从⽽当做函数来执⾏ 通俗的说⽐如你<?php$a=eval;$a()?>这样是不⾏的.也造就了⽤eval的话达不到assert的灵活,但是在php7.1以上asser
黑群晖7.2屏蔽更新
连接群晖及WinScp使用见上一篇文章 产品型号:DS3622xs+ DSM版本:DSM 7.2-64570 Update 1 先看一下效果图 我们最终想要的:屏蔽系统更新,但是不能影响套件更新!!是的,做到了! 之前看博主“GXNAS”猜测的的套件和系统更新共用一个升级地址了,建议劝退了 可是黑群晖心不甘啊。。。。。。。。。。。。万一哪天手残,数据(小姐姐)可容不得半
WaitAdmin的安装
WaitAdmin 是一款基于 ThinkPHP6 + Layui的模块化开发框。 源码下载 官方网站:https://www.waitadmin.cn 其它途径: Gitee:https://gitee.com/wafts/WaitAdmin Github:https://github.com/topwait/waitadmin 环境要求 运行环境 要求版本推荐版本 PH
CTFer成长记录——CTF之Web专题·攻防世界—easyupload
一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 这题一道文件上传题,本题考的是利用.user.ini文件的特性,实现任意命令执行。在测试该文件上传是白名单还是黑名单,我们可以随便上传一个文件后缀,只要不通过就是白名单检测。 .user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要
CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀
一、题目链接 https://adworld.xctf.org.cn/challenges/list 二、解法步骤 WRONG WAY! <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET["file1"]) && isset($_GET["file2"])) { $file1
命令执行_代码执行漏洞
远程代码注入漏洞 原理 攻击者可利用代码注入漏洞执行任意代码,来操作服务器 危害 执行任意代码,来操作服务器 操作数据库,插入恶意数据,可能获取 系统权限 攻击修改系统配置,修改网络配置,可能对 服务器及网络造成影响 可以进一步对网络渗透,由于代码注入攻击多半可获取系统权限,对网络的进一步渗透难度大大降低 代码执行、文件读取、命令执行的函数: 文件执行:eval、call_user_func、ca