PHP
php反序列化个人笔记
反序列化 什么是反序列化? 格式转换 序列化:对象转换为字符串或者数组等格式 反序列化:将数组或字符串转换成对象 为什么会出现安全漏洞? 魔术方法 如何利用漏洞? 通过构造pop链,找到代码的逻辑漏洞,进行getshell,rce等操作 反序列化利用分为三类 魔术方法的调用逻辑 语言原生类的调用逻辑,如SoapClient 语言自身的安全缺陷,如CVE-2016-7124 序列化 在各类语言
php基础语法_面向对象
PHP php代码标记 多种标记来区分php脚本 ASP标记:<% php代码 %> 短标记: 脚本标记: 标准标记(常用): 简写风格: ASP风格:<% php代码 %> 注意:简写风格和ASP风格需要在php.ini配置文件中修改以下配置为on,移植性差 php注释 行注释 //注释 注释 块注释 /* 注释 */ php指令分隔符 ;类似C语言,使用分号来结束
[强网杯 2019]Upload [安洵杯 2019]不是文件上传 php反序列化代码审计
进入页面发现有登录,随便注册一个用户登录试试。 文件上传?传个试试,结果发现不论怎么上传都没用,还发现了cookie像是反序列化的东西。扫目录看看,发现源码。 发现主要文件,做做审计吧。 index.php 发现index.php中主要是检测与登录登出等。 profile.php 发现了$this->checker=new Index();这表明船舰了index.php中
文件上传之黑名单绕过常规手法
1. 前端JS限制 绕过 绕过方式: 上传一个正常文件,在burp抓包后直接更改后缀名。例如:1.jpg 更改为 1.jpg.php 修改前: Content-Disposition: form-data; name="FILE"; filename="file9689.png" 修改后: Content-Disposition: form-data; name="FILE"; filename=
网站_域名_DNS_端口_web访问过程
网站基本概念 服务器:能够提供服务器的机器,取决于机器上所安装的服务软件 web服务器:提供web服务(网站访问),需要安装web服务软件,Apache,tomcat,iis等 域名 (Domain Name) 方便人记的 DNS (Domain Name System) 域名系统, 一个分布式数据库,让ip和域名相互映射 让你不用记ip 先找本地DNS,再找网络DNS 本地DNS:hosts文
6.12Web应用漏洞发现探针利用
已知CMS、开发框架、 思路: 各个页面查看数据包(地址信息),查看框架,上fofa关键字搜索(查看其框架信息如thinkhphp),利用检测工具测试漏洞情况; 网站根目录下的robots.txt文件信息; /data/admin/ver.txt 网站升级时间; 常见SQL注入、登录、逻辑越权支付逻辑绕过思路:#https://blog.csdn.net/Karka_/article/deta
phpmyadmin页面打开后登录失败的解决办法
如果在本机上安装了mysql将mysql服务器停止之后就可以登录phpmyadmin了 按下快捷键Win+R,打开运行窗口,输入services.msc按下回车键,打开服务管理器,在服务列表上找到mysql,点击停止之后再打开phpmyadmin就可以正常登录了 如果本地主机上没有下载mysql可以看其他博主的教程:phpStudy解决mysql 启动后又自动关闭问题方法_php的mysql开启
文件上传之判断一个网站的语言是PHP还是ASP
本文转自:https://worktile.com/kb/ask/191870.html 要确定一个网站的语言是PHP还是ASP,可以通过以下几种方法来进行判断: 查看网页源代码:在浏览器中打开网页后,可以点击鼠标右键选择“查看页面源代码”,或者通过快捷键Ctrl+U来查看网页的源代码。然后搜索关键词“php”或“asp”,如果网页中包含有相关的代码标记,则可以确定该网站所使用的语言。 检
关于phpStudy中的phpmyadmin打不开的原因
今天我在配置软件杯的第10道赛题的环境变量的时候,教程显示要打开phpmyadmin,但是我的一直打不开出现以下情况 这是因为WNMP没有启动,只要将他启动就可以正常打开了
golang 字节级操作和字符串的区别与转换 []byte(message)
[]byte(message) 将字符串 message 转换为一个字节切片( []byte )。 在Go语言中,字符串是不可变的,而字节切片可以被修改。 这种转换常用于处理字符串的字节级操作,如编码、解码或写入IO流。 字节级操作 和 字符串操作 在编程中有本质的不同,主要体现在以下几个方面: 1. 数据单位: 字符串(String):由字符组成,每个字符可以是一
zabbix(ubuntu22.04)
zabbix是一款监控软件,可监控各种网络参数,同时支持灵活的告警机制。 常用术语 主机(Host):需要监控的网络设备,可用IP或域名表示 主机群组(Host group):为了方面批量管理大量Host,我们会通过主机群组的方式设置一些通用的权限设置 监控项 (Item) :一个特定监控指标的相关数据,这些数据来自于被监控对象,它是zabbix进行数据收集的核心 触发器(Trigger ) :表
LLM大模型: llama源码要点解读(二)
1、attention机制:这算是transformer架构最大的创新点了!利用attention机制,找到token之间的相似度(或则说距离),根据相似度调整token本身的embedding值,本质就是根据token的context调整自身的embedding值,这个思路非常符合人脑对语言和语义的理解!比如”苹果“这个词,如果只看这一个token,没有任何context,根本无法分辨是水果
PHP中怎样判断数组元素不是空格?
在PHP中,要判断数组中的元素是否不是空格,可以使用`trim()`函数来去除字符串两端的空白字符,然后检查结果是否为空字符串。以下是一个示例代码:```php$array = [" ", " ", "Hello", " World", ""];foreach ($array as $value) { if (trim($value) !== "")
zabbix 监控系统搭建实战记录
https://www.zabbix.com/documentation/5.0/manual/installation/install_from_packages 1、下载zabbix、下载mysql 2、安装zabbix a、安装三个组件 yum install zabbix-server-mysql zabbix-web-mysql zabbix-agent b、安装结果 c. 创建
12款高效开源Wiki系统推荐,打造团队知识管理利器
文章介绍了12款好用的开源Wiki:PingCode、DokuWiki、MediaWiki、Tiki Wiki CMS Groupware、XWiki、BookStack、PMWiki、Foswiki、GitBook、Wiki.js、TiddlyWiki、Slite。以及对比了一款非开源但提供免费版本的Wiki工具,以供大家选择。 在企业知识管理和团队协作中,Wiki系统因其强大的编辑和组
c语言开发 php扩展 sm4
首先 php可以直接调用openssl 直接进行sm4 sm3的加密 如: openssl_encrypt($plaintext, 'sm4-cbc', $key, OPENSSL_RAW_DATA , $iv); openssl_digest('123','sm3') php如果直接调用sm2 需要统一使用openssl的evp接口 openssl1.1的源码在sm2_crypt文件里面 此处只
[转]如何关闭一个不活动的或者空闲的 SSH 会话
原文地址:技术|如何关闭一个不活动的或者空闲的 SSH 会话 作者: Magesh Maruthamuthu 译者: LCTT wcnnbdk1 | 2017-07-06 09:13 评论: 2 收藏: 2 让我们来假设一下,当你通过 ssh
[转]Systemd 入门教程:命令篇
原文地址:Systemd 入门教程:命令篇 - 阮一峰的网络日志 Systemd 是 Linux 系统工具,用来启动守护进程,已成为大多数发行版的标准配置。 本文介绍它的基本用法,分为上下两篇。今天介绍它的主要命令,下一篇介绍如何用于实战。 一、由来 历史上,Linux 的启动一直采用init进程。 下面的命令用来启动服务。 $ sudo /etc/init.d/apache2 start
Base64编码解码流程的初步学习
目录什么是Base64编码?为什么要学习Base64编码?Base64编码基础原理介绍Base64编码组成Base64编码索引表Base64编码规则Base64编码过程简记编码流程实战Base64编码(不同情况举例说明)1. 待编码字符数量为3的倍数2. 待编码字符数量不为3的倍数Base64解码原理简单介绍Base64解码过程Base64解码特点验证Base64编码解码正误 什么是Base64编
最新仿好特下载站源码,软件下载源码,仿多特源码PHP MYSQL
最新仿好特下载站源码,软件下载源码,仿多特源码PHP MYSQL 免费下载: https://www.shanhubei.com/archives/55329.html
某大型DJ舞曲网源码,DJ网站源码DEDE5.7内核PHP MYSQL
某大型DJ舞曲网源码,DJ网站源码DEDE5.7内核PHP MYSQL 免费下载:https://www.shanhubei.com/archives/55329.html
魔兽世界 包括巫妖王之怒 一键更改字体脚本
3个游戏版本的路径是 World of Warcraft_classic_Fonts World of Warcraft_classic_era_Fonts World of Warcraft_retail_Fonts 使用方法: 拖动字体文件到脚本上就可以自动建立硬链接. 另存为xxx.bat
Discuz! X3.5 针对常见CDN/WAF/负载均衡,如何获取真实IP?
观前提示:修改Discuz不是获取真实IP的最佳方法如果您有能力,建议了解Apache mod_remoteip、Nginx ngx_http_realip_module 或其他同类功能在服务器端配置可以让你的服务器访问日志也能收集到正确的IP 参照此教程修改之前,请务必确认X3.5当前是否能够获取到真实的IP地址如果已经能获取到真实IP地址的情况下,切勿参照此教程修改!首先打开 config
代码随想录算法训练营第9天内容2 |字符串总结
字符串总结 基础操作 —— 反转字符串 344 反转字符串:字符串变成列表才能可替代;不要随便用库函数 https://leetcode.cn/problems/reverse-string/description/ 反转字符串 II:遍历的秘诀; https://leetcode.cn/problems/reverse-string-ii/description/ 151.翻转字符串里
PHP wind反序列化分析
PHP WIND 是很久之前一款優秀的cms PHP反序列化 是一種不斷利用php方法 最終調用到危險函數 從而getshell的方法 主要通過各類魔術方法 從而調用到危險函數 我們先來分析一個簡單的鏈條 反序列化小例 这条链触发的源一定是__wakeup() 而终点一定是通过vul类的hello方法来执行恶意代码: 只需要构造简单链: 传入后 说明可以getshell 通过重构类 来达到执