admin' or '1'='1 万能密码 inurl:/class/?1.html inurl:webmall/query.php?typeid=?inurl:shop/class/?226.htmlinurl:product/html/?10.htmlinurl:down/class/?2.htmlinurl:news/html/?417.htmlinurl:shop/html/?477.htmlinurl:news/class/?86.html inurl:/page/html/?1.ht…

注入:之所以鸡肋就是该漏洞利用安装文件 重新生成 配置文件 写入可执行代码 鸡肋1: 具有破坏性 动作非常大 重新写了配置文件 数据库连接文件鸡肋2: 有一定安全常识的站长都会删掉 install 目录 虽然鸡肋 但也有优点 : 不受 magic_quotes_gpc . webserver 影响 分析: $siteurl="http://".$_SERVER["HTTP_HOST"]."/"; //未过滤 $filestr = fread(fo…

PHP用超级全局变量数组$_FILES来记录文件上传相关信息的. 1.file_uploads=on/off 是否允许通过http方式上传文件 2.max_execution_time=30 允许脚本最大执行时间,超过这个时间就会报错 3.memory_limit=50M 设置脚本可以分配的最大内存量,防止失控脚本占用过多内存,此指令只有在编译时设置了    --enable-memory-limit标志的情况下才生效 4.upload_max_filesize=20M 允许上传文件的最大大小,…

catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述 Relevant Link:2. 漏洞触发条件3. 漏洞影响范围4. 漏洞代码分析5. 防御方法 /version.php <?php define( "PHPWEB_VERSION", "1.4.3" ); define( " ); /**/ function cleanArrayForMysql($data) { if(…

Ruby on Rails框架在REST走得很前,开发时默认都按照RESTful风格搭建. <RESTful Web Services>是本好书 SOAP…

XSS跨站脚本 概念:恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的. 危害: 盗取用户COOKIE信息. 跳转到钓鱼网站. 操作受害者的浏览器,查看受害者网页浏览信息等. 蠕虫攻击. 描述:反射型跨站.GET或POST内容未过滤,可以提交JS以及HTML等恶意代码. 代码: <?php echo $_GET['msg']; ?> //正常URL user.php?msg=henhao //带JS的URL…

参考:https://blog.csdn.net/loophome/article/details/83413878…

转载:https://blog.csdn.net/wj610671226/article/details/78426698 正则表达式 作用:分割.查找.匹配.替换字符串 分割符:正斜线(/).hash符号(#)以及取反符号(~) 通用原子: \d: 匹配一个数字字符.等价于 [0-9]. \D: 匹配一个非数字字符.等价于 [^0-9]. \w: 匹配包括下划线的任何单词字符.等价于'[A-Za-z0-9_]'. \W: 匹配任何非单词字符.等价于 '[^A-Za-z0-9_]'. \s: 匹…

解题思路 打开是一个蛮有意思的背景,众生皆懒狗,是自己没错了.源代码看一看,啥都没有.抓个包 诶,一看到func和p两个参数,想到了call_user_func(). 尝试着把date改成system看有没用,显示hacker,证明有waf了 随便输入个参数,让他报错.看看有没有爆出什么函数. 果然是回调函数,那么大概思路感觉就是代码执行了,试了些函数,发现都被过滤了,这里思考可不可以读源码 func=readfile&p=index.php 没被禁掉,读出源码 代码审计 <?php $di…

一道比较简单的题,不过对PHP还是不够熟悉 知识点 1.PHP date函数 PHP date() 函数用于对日期或时间进行格式化. 语法 date(format,timestamp) 参数 描述 format 必需.规定时间戳的格式. timestamp 可选.规定时间戳.默认是当前时间和日期. date() 函数的格式参数是必需的,它们规定如何格式化日期或时间. 下面列出了一些常用于日期的字符: d - 表示月里的某天(01-31) m - 表示月(01-12) Y - 表示年(四位数) 1…