PHP
CVE-2022-4230 复现
题目描述: WP Statistics WordPress 插件13.2.9之前的版本不会转义参数,这可能允许经过身份验证的用户执行 SQL 注入攻击。默认情况下,具有管理选项功能 (admin+) 的用户可以使用受影响的功能,但是该插件有一个设置允许低权限用户也可以访问它。 根据描述,我们直接去查看wp-admin路由. 使用弱密码爆破发现账号密码都是test,成功登录. 登录以后发现已启用
PHP中preg_replace函数解析
常见于CTF竞赛中web题目中 对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中 ,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储。缓冲区编号从 1 开始, 最多可存储 99 个捕获的子表达式。每个缓冲区都可以使用 'n' 访问,其中 n 为一个标识特定缓冲区的 一位或两位十进制数。 其大致含义就是匹配出的任意内容,都用()包含起来,
CVE-2023-27179 复现
题目描述: GDidees CMS v3.9.1及更低版本被发现存在本地文件泄露漏洞,漏洞通过位于 /_admin/imgdownload.php 的 filename 参数进行利用。 实际攻击:开启容器后访问url如下 https://eci-2ze5gnqeym8bbt48nwsv.cloudeci1.ichunqiu.com/_admin/imgdownload.php?filename
CVE-2023-2130 复现
题目描述: 在SourceCodester采购订单管理系统1.0中发现了一项被分类为关键的漏洞。受影响的是组件GET参数处理器的文件/admin/suppliers/view_details.php中的一个未知函数。对参数id的操纵导致了SQL注入。可以远程发起攻击。 我们访问urlhttp://eci-2ze4zo2wv0tfww4o4okm.cloudeci1.ichunqiu.com/a
CVE-2023-23752 复现
题目介绍: Joomla是一个开源免费的内容管理系统(CMS),基于PHP开发。在其4.0.0版本到4.2.7版本中,存在一处属性覆盖漏洞,导致攻击者可以通过恶意请求绕过权限检查,访问任意Rest API。 api的问题如下:可以直接访问如下url获得数据库的配置信息:/api/index.php/v1/config/application?public=true 原因是在允许内部接口以pub
VBA 实现从 URL 下载图片并重命名保存
使用 VBA 在 Excel 中实现图片自动下载 1. 准备 1.1 MSXML2.XMLHTTP XmlHttp 提供客户端同 http 服务器通讯的协议 1.2 ADODB.Stream ADODB.Stream 属于 ADODB 组件中的一个对象,它是一种数据流对象,用于处理二进制数据流 2. MSXML2.XMLHTTP 介绍 参考:https://www.jianshu.com
玄机-第二章日志分析-mysql应急响应
目录前言简介应急开始准备工作日志分析步骤 1步骤 2步骤 3步骤 4总结补充erro.log 前言 这里应急需要知道mysql提权的一些姿势,还有能够提权成功的前提。5金币就当复习一下了。 这里考察的是mysql应急响应,我们应该是根据找flag的需求去就行,但是我做了之后发现没啥用,他这个找的flag顺序其实有问题。我自己就捋顺了一遍后,发现下面这种思路比较适合(新手): 服务器疑似被入
ctf-web类型练习
[极客大挑战 2019]Http1 打开所给的链接,对网页进行检查 发现隐藏链接/Secret.php 要求我们是从https://Sycsecret.buuoj.cn访问的,没办法,满足他,bp抓包后放给重发器进行伪造 referer:服务器伪造 --> referer:https://Sycsecret.buuoj.cn
【开源分享】好用的在线客服系统|php在线客服系统源码 带搭建教程
源码简介 即时聊天:提供实时文本聊天功能,允许客服与客户进行即时互动,快速解答疑问或提供帮助。 自动回复与机器人客服:利用AI技术实现自动回复常见问题,或配置智能机器人客服进行初步接待和筛选,减轻人工客服压力,提高响应速度。 知识库管理:建立和维护产品知识库、FAQ等,方便客服人员快速查找答案,确保信息准确一致。 会话转接与协同:支持客服间无缝转接会话,或邀请同事加入会话共同处理复杂问题,增强团队
phpMyAdmin工具常见问题
phpMyAdmin是什么? phpMyAdmin是一种管理员工具,它是一个PHP脚本,旨在使用户能够与自己的MySQL数据库进行交互。 WordPress将其所有信息存储在MySQL数据库中,并与数据库交互以在WordPress站点内生成信息。MySQL数据库中存储的数据、表和字段的 “原始 “视图可以通过phpMyAdmin访问。 它有什么好处? phpMyAdmin程序很方便,可以对数据表进
《php经典实例》第一章 字符串
0 准备工作 0.1 pdf书的下载地址 链接:https://pan.baidu.com/s/1o_iwp-NbE8Npa1k0j3Nyng?pwd=yaad 提取码:yaad phpstudy下载和安装 editplus下载和安装 0.2 环境启动 0.21 修改 httpd.conf D:phpstudy_proExtensionsApache2.4.3
攻防世界web2(新手模式)
一、web2 1.基本知识点 strrev() :反转字符串 str_rot13():用于字符串加密和解密的函数,它实现了 ROT13 算法。ROT13(rotate by 13 places)是一种简单的字母替换加密算法,它将字母表中的每个字母替换为其后第13个字母。由于字母表有26个字母,所以再次应用 ROT13 会恢复原始字符串,因此它是一种对称加密。 2.解题过程 encode()函数中
PHP编程中的接口与性状:实现代码解耦与功能复用的关键技术
本文由 ChatMoney团队出品 在PHP编程中,接口是一种定义对象之间交互契约的强大工具。其核心目的不是让一个对象紧耦合地依赖另一个对象的特定身份,而是基于另一对象的能力进行交互。通过接口,我们的代码可以实现与依赖的解耦,从而允许我们的代码与任何实现了相应接口的第三方代码协同工作。在编码过程中,我们无需关心第三方代码如何具体实现接口,只需确保接口被正确实现即可。 以文档处理为例,如果我们设
PHP接口与性状的优雅应用
本文由 ChatMoney团队出品 在PHP编程中,接口是一种定义对象之间交互契约的强大工具。其核心目的不是让一个对象紧耦合地依赖另一个对象的特定身份,而是基于另一对象的能力进行交互。通过接口,我们的代码可以实现与依赖的解耦,从而允许我们的代码与任何实现了相应接口的第三方代码协同工作。在编码过程中,我们无需关心第三方代码如何具体实现接口,只需确保接口被正确实现即可。 以文档处理为例,如果我们设
测试工程师在敏捷项目中扮演什么角色?
敏捷团队中的测试人员主要负责执行各种测试,以满足“已完成”的定义,从而为团队在重复迭代中努力交付的持续价值创造做出贡献。对于测试人员来说,拥有敏捷的心态是至关重要的,如果没有敏捷的思维方式,他们可能就不能果断地计划、划分优先级并执行他们的任务,因此会无意中影响团队满足迭代目标的能力。敏捷的思维方式是测试人员展示正确行为的先决条件,这些行为能够加速整个团队的性能。 为了在敏捷项目中取得成功,测试人员
【开源分享】2024PHP在线客服系统源码(全新UI+终身使用+安装教程)
PHP在线客服系统核心功能 用户留言 协同工作:留言后,用户能够享受在线咨询、订单查询等服务;登录状态也用于权限控制,确保不同用户访问合适的资源。 咨询处理 作用:提供实时或异步的客服咨询功能,允许用户向客服发送问题并接收回复。 重要性:是客服系统的核心功能,直接影响用户体验和满意度。 协同工作:与用户登录功能结合,确保咨询能够正确关联到用户;同时,咨询记录作为用户信息管理的一部分,也用于后续的
PHP curl 模拟GET请求接口报错HTTP Status 400 – Bad Request 问题
网上查的解决方案:https://blog.csdn.net/sunsijia21983/article/details/123204143 问题: PHP用curl模拟GET请求接口报错HTTP Status 400 – Bad Request 参数zName是英文、数字的时候都不会报错,输入汉字就报错400; 解决方案:http_build_query处理一下请求参数 注:http
分享php两个实用类:单线程调用和集合类
单线程类 集合类 If the copyright belongs to the longfei, please indicate the source!!!
Vue3的学习---2
2.Vue基本语法 2.1 文本渲染指令 v-html和v-text v-html:将数据当作html代码渲染到页面上 v-text:将数据当作纯文本渲染到页面上 2.2 属性绑定指令 2.2.1 v-bind v-bind 用于动态地绑定一个或多个属性、特性或组件的 prop 到表达式。它允许你将数据从 Vue 实例动态地绑定到 HTML 元素或组件的属性上。 2.2.2 样式绑定 2.3
php 7 与8 区别 学习笔记
https://www.php.net/manual/zh/migration80.incompatible.php 不向后兼容的变更 ¶ PHP 核心中不向后兼容的变更 ¶ 字符串与数字的比较 ¶ 数字与非数字形式的字符串之间的非严格比较现在将首先将数字转为字符串,然后比较这两个字符串。 数字与数字形式的字符串之间的比较仍然像之前那
WordPress安装时对服务器的环境要求
要运行WordPress,我们建议您的主机服务器支持以下参数: PHP版本7.3+以上 MySQL版本5.6+或者MariaDB版本10.1+以上 HTTPS加密访问支持 学习备忘录建议使用Apache和NGINX作为运行WordPress最佳功能和性能的服务器,但实际上任何支持PHP和MySQL的服务器皆可运行。 注意:WordPress也可以在PHP 5.6.20+和MySQL 5.0+的旧版
Google 常用语法说明
Google 常用语法说明 背景 Google Hacking,作为一种利用谷歌搜索引擎的强大能力来挖掘互联网中敏感或未公开信息的技巧,已成为安全研究、漏洞挖掘及信息搜集领域的重要工具。 通过精心构造的搜索查询,用户可以轻松地发现从轻微的安全疏忽(如遗留的后门、未加密的后台入口)到严重的信息泄露(如用户数据、源代码、未授权访问途径)乃至高危漏洞(如数据库文件下载、CMS未锁定的安装页面、网站配置密
Lamp 小白菜鸟从入门到精通
前言 “LAMP包”的脚本组件中包括了CGIweb接口,它在90年代初期变得流行。这个技术允许网页浏览器的用户在服务器上执行一个程序,并且和接受静态的内容一样接受动态的内容。程序员使用脚本语言来创建这些程序因为它们能很容易有效的操作文本流,甚至当这些文本流并非源自程序自身时也是。正是由于这个原因系统设计者经常称这些脚本语言为胶水语言。 适合于从事Linux平台上Web服务、数据库服务的从业资格认
风哥容器云平台架构师专题3.0(Docker+Kubernetes/K8s+KubeSphere)
为满足想学习容器云技术的学员,风哥特别设计的一套比较全面的容器云平台架构师项目实战系列课程课程。 风哥容器云平台架构师项目实战系列课程包括: 1.容器云平台架构师项目实战01-Docker 2.容器云平台架构师项目实战02-Kubernetes(k8s) 3.容器云平台架构师项目实战03-KubeSphere 3.容器云平台架构师项目实战04-未发布 专题地址:容器云平台专题(Docker+K8s