PHP
laravel: 日志配置
一,日志按天切分: 修改.env root@lhdpc:/data/api# vi .env 指定LOG_CHANNEL值为daily即可,代码: LOG_CHANNEL=daily 二,配置laravel日志中记录url/方法/参数 1,config/logging.php 'daily' => [ 'driver' => 'daily',
Oracle 19c OCP 认证考试 082 题库(第22题)- 2024年修正版
【优技教育】Oracle 19c OCP 082题库(Q 22题)- 2024年修正版 考试科目:1Z0-082 考试题量:90 通过分数:60% 考试时间:150min 本文为(CUUG 原创)整理并解析,转发请注明出处,禁止抄袭及未经注明出处的转载。 原文地址:http://www.cuug.com/index.php?s=/home/article/detail/id/3406.html 第
Wordpress安装
1. 说明 LNMP经典网站环境, Linux系统,Nginx网站服务,MySQL数据库(Mariadb),PHP(运行环境) Wordpress PHP代码. 2. 建议的搭建顺序 MySQL数据库(mariadb) PHP环境 php 7.x Nginx 直接安装即可 2.1. 部署数据库 查看代码 # 1.安装mariadb数据库 root@iZ2zei5cw
【渗透测试】ATT&CK靶场一,phpmyadmin,域渗透,内网横向移动攻略
前言 VulnStack,作为红日安全团队匠心打造的知识平台,其独特优势在于全面模拟了国内企业的实际业务场景,涵盖了CMS、漏洞管理及域管理等核心要素。这一设计理念源于红日安全团队对ATT&CK红队评估设计模式的深刻理解和巧妙应用。靶场环境的构建与题目设计均围绕环境搭建、漏洞利用、内网信息搜集、横向移动、渗透通道构建、持久控制及痕迹清理等多维度展开,旨在为安全研究者打造一个真实且全面的内网
【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS
前言 博客主页:h0ack1r丶羽~ 从0到1~ 渗透测试中,如果攻击者使用各类上层隧道(例如:HTTP隧道、DNS隧道、常规正/反向端口转发等)进行的操作都失败了,常常会通过ping命令访问远程计算机,尝试建立ICMP隧道,将TCP/UDP数据封装到ICMP的ping数据包中,本文主要讲解了【靶机能上TCP和不能上TCP的区别】【利用pingtunnel搭建ICMP隧道,实现靶机上线MSF/CS
文件包含_PHP filter伪协议利用方式
前言 本文主要讲解php filter伪协议,文件包含漏洞 php://filter伪协议是PHP中独有的一种协议,它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理、rot13处理等。php://filter伪协议主要用于一体式(all-in-one)的文件函数,如readfile()、fil
文件上传10种waf绕过姿势
基础篇:https://mp.weixin.qq.com/s/od0djMG4iwO755N2YgDAHg 环境搭建 首先去官网下载安全狗,进行网站配置,或者后台回复【安全狗】,靶场源码和waf软件都准备好了,都是最新版本的,直接下载就行 安全狗配置文件防护规则 这里用upload-labs中的第六关进行文件上传测试 第六关是在文件后缀添加一个空格就可以上传成功 waf环境已搭好 WA
你真的会信息收集嘛,信息收集10大技巧——渗透测试
前言 在渗透测试中,信息收集是非常关键的一步,它为后续的漏洞发现和利用提供了重要的基础。以下是非常详细的信息收集方式: 一、被动信息收集 被动信息收集是指在不与目标系统直接交互的情况下,通过公开渠道获取目标系统的相关信息。这种方式通常不会留下痕迹,具有较高的隐蔽性。 1、搜索引擎 使用Google、Bing等搜索引擎,通过输入特定的关键词(如公司名称、域名、产品名称等)来搜索与目标系统相关的信息
信息收集:网络空间测绘FOFA,查询语法最全使用方法(图文解析)
前言 经粉丝投稿,特意搜集了一些fofa的使用教程和一些高级用法 什么是FOFA? 官网描述:FOFA-网络空间资产搜索引擎是华顺信安推出的一款通过对全球网络对外开放服务的资产进行主动或被动方式探测、抓取、存储,分析整理不同种类的网络空间资产指纹信息(规则),并对符合规则的资产进行统计分析,进而快速检索全球网络空间资产的产品。 它能够帮助用户迅速进行网络资产匹配,快速开展网络空间威胁态势感知、
系统安全之笑脸漏洞(vsftpd2.3.4) Metasploitable2.0的俩种攻击方式
环境 靶机(Metasploitable2)ip: 192.168.209.135 攻击机(kali)ip:192.168.209.130 漏洞复现 Metasploit kali使用msfconsole进入Metasploit search vsftpd 查看到描述正好有个 v2.3.4 版本的vsftpd漏洞 use 1使用模块 info 查看漏洞主要信息 ,并且配置好端口和靶机ip w
cisp-pte考试靶场及通关攻略(附靶场源码)
cisp-pte考试靶场及通关攻略(附靶场源码) 靶机安装 关注后回复【pte靶场】即可,有网安交流群,要进群的小伙伴后台加群即可 vm启动后改静态ip service network restart或者重启reboot 第一题【sql注入】 注意这个文件路径,待会要获取答案 order by判断字段数量 union判断,被过滤 发现可以双写绕过 空格被过滤 使用/**/注释符替换
C# 面向对象编程的三大支柱:封装、继承与多态
面向对象编程(OOP)是一种广泛使用的编程范式,它通过封装、继承和多态这三大支柱来构建灵活且可维护的代码结构。本文将详细介绍这三大支柱在C#语言中的应用,并通过示例代码展示它们的具体实现。 一、封装(Encapsulation) 封装是指将对象的属性(字段)和行为(方法)结合在一起,并对外部隐藏对象的具体实现细节,仅暴露必要的接口供外部使用。封装提高了代码的安全性和可维护性。 示例代码 using
开发人员选择 PHP 的原因
服务器端处理: PHP 的主要优势之一是它能够处理服务器端逻辑。从管理数据库到处理用户身份验证,一切都可以通过 PHP 代码顺利运行。如果你的项目涉及需要在不刷新整个页面的情况下更新的动态内容,那么 PHP 会派上用场。 开源且灵活:由于 PHP 代码是开源的,开发人员可以无限自由地修改它以满足其特定的项目需求。再加上强大的社区支持,将获得一个多功能的后端工具。 CMS 集成:
使用sourceinsight阅读内核代码的一些问题
工具栏格式乱了怎么办 https://blog.csdn.net/qq_23327993/article/details/115567723 Linux内核中有很多宏定义,sourceinsight不识别,导致解析出问题 https://blog.csdn.net/nust20/article/details/46486947 https://www.jianshu.com/p/0b4ad9532
2017 ACM/ICPC Asia Regional Qingdao Online(SDKD 2024 Summer Training Contest J2)
C - The Dominator of Strings 题意 给定n个串,问是否有一个串包含其他所有串,有就输出这个串。 思路 如果有解,答案必定是最长串,一一比较即可。(没想到.find()就能过🤡) 代码一 .find() 点击查看代码 代码二 KMP 点击查看代码 H - Chinese Zodiac 题意 已知甲乙二人的属相(甲比乙年纪大),求二者年龄最小差值
pikachu靶场的代码审计,和一些危险函数
对pikachu靶场进行代码审计,审计分析文件上传、命令执行漏洞,越权漏洞,sql注入,xxe漏洞 文件上传 client: 并未对后缀进行判断,只对大小做了验证 后端并未进行文件的类型校验,仅仅是生成了一个目录去保存上传的文件 同时对文件的保存路径暴露 MIME Type 只对mime进行了验证,很容易绕过,没使用白名单机制,过滤的不够严谨 getimagesize 对文件的类型和m
CVE-2021-24762 复现
一看是个wordpress,看了下版本6.0没洞,直接扔wpscan扫一下 发现了个插件 一搜发现perfect-survey在1.5.2之前都有洞,直接搜exp打. 上官网找了个API重扫一遍,直接给出了CVE号! 直接找个sqlmap的exp跑一下,注意第二个位置选n来设置cookie 成功得到数据库名.最后在数据库中得到flag
基于sqli-labs Less-5 sql报错注入详解
按照之前的思路发现,是正常的'闭合的字符型,但是在联合注入0' union select 1,2,3--+没有回显注入点,只是回显You are in,因此无法使用联合注入,考虑使用报错注入或者盲注。 考虑到本题会给出数据库的错误信息,且盲注比较麻烦,尝试使用报错注入 1. 报错注入函数简介 1.1 updatexml函数 UPDATEXML 是 MySQL 中的一个 XML 函数,用于解析 XM
[Dest0g3 520迎新赛]funny_upload
打开靶机抓包发现过滤代码 发现.htaccess能上传后传入图片马 发现内容对<?进行过滤 我们换一种方式写后门代码 <script language="php">eval($_POST['cmd']);</script> 写入成功后发现没有回显 查资料发现可能使由于php版本过高不支持<script language="php">eval($_
本地文件包含漏洞详解与CTF实战
1. 本地文件包含简介 1.1 本地文件包含定义 本地文件包含是一种Web应用程序漏洞,攻击者通过操控文件路径参数,使得服务器端包含了非预期的文件,从而可能导致敏感信息泄露。 常见的攻击方式包括: 包含配置文件、日志文件等敏感信息文件,导致信息泄露。 包含某些可执行文件或利用文件上传功能生成的恶意文件,进而执行任意代码。 示例: 1.2 php伪协议 PHP 伪协议允许开发者通过指定不同的输
[CTFshow] 文件上传 151-170
web151 提示:前台校验不可靠 直接上传1.php提示图片不符合,并且页面无刷新,再根据提示,应该是js验证的,在F12发现了上传验证 上传一张图片抓包,然后修改信息,修改filename为1.php,内容为一句马 在根据回显路径访问后门,后面常规操作 web152 提示:后端校验要严密 上传正常图片然后抓包然后修改 上传成功,这题应该是要修改MIME的,不过因为我们
ubuntu安装php及ansible命令
安装php命令 apt install -y php php-bcmath php-cli php-common php-fpm php-gd php-intl php-mbstring php-mysqlnd php-opcache php-pdo php-xml php-json 安装ansible命令 apt install -y software-properties-common add
LIN476H5 F 2024 Language Universals
LIN476H5 F 2024 Language Diversity and Language Universals Homework Assignment 1 Due: Fr 09/20, by 11:59p Submit your homework on Quercus. Neat typing is required. To&nbs
使用pdo 连接sqlsrv 报错 ssl错误。
报错: SQLSTATE[08001]: [Microsoft][ODBC Driver 17 for SQL Server]SSL Provider: [error:0A0C0103:SSL routines::internal error]或者: SQLSTATE[08001]: [Microsoft][ODBC Driver 17 for SQL Server]SSL Pro
论文阅读笔记 --- 图模互补:知识图谱与大模型融合综述 --- 按参考文献整理
论文阅读笔记 --- 图模互补:知识图谱与大模型融合综述 --- 按参考文献整理 关于 首次发表日期:2024-09-13 论文原文链接:http://xblx.whu.edu.cn/zh/article/doi/10.14188/j.1671-8836.2024.0040/ 将文章中的参考文献整理一下,基本保持原文的目录结构 引言、相关介绍 Knowledge Graphs: Opport
WordPress加载流程的解读分析
index.php ```php <?php /* * 这个文件只用来加载 '/wp-blog-header.php' * * @package WordPress / /* * 声明一个全局变量,用来判断是否加载主题 * * @var bool / define('WP_USE_THEMES', true); /* 加载WordPress环境和模板 / require DIR . '/wp
PHP产生一个唯一ID
在 PHP 中,生成唯一 ID 的方式有很多,取决于你的使用场景和要求。以下是几种常见的方法: 1. 使用 uniqid() uniqid() 是 PHP 内置函数,可以根据微秒时间生成唯一 ID。你可以传递一个前缀,并且使用 true 来获取更高精度的唯一 ID。 示例: 输出示例: 可以为生成的 ID 添加一个前缀,并使用 true 参数来确保更高精度。 输出示例: 2. 使用 bin