SCTF 2018_Simple PHP Web 进入环境注意观察url http://www.bmzclub.cn:23627/?f=login.php 有点像是文件读取我们尝试读一下/etc/passwd,直接读发现不行我们尝试使用伪协议 http://www.bmzclub.cn:23627/?f=php://filter/convert.base64-encode/resource=/etc/passwd 发现成功能读出 接下来我们尝试读取/flag http://www.bmzclub…

  SCTF的web最简单题,好难好难好难.      直接进去就是PHPmyadmin界面(即mysql的网页界面),需要登录密码,这个我当时没有破解出来,谁知道账号密码是root/root咩,要是当时账号密码同时破,或许就很好了.   进入后,可见,,,,,,,啊啊啊,登不进去了,是的,有人改密码,继续.进入后,就看见了一句话木马,参赛选手做了这项操作.一般数据库方面的就是使一句话木马存在于某个文件中,然后用中国菜刀连接即可登录服务器,寻找各种秘密信息,这就是phpmyadmin的getsh…

6月19日的SCTF的web送分题. 打开链接是一个phpmyadmin的登陆界面,尝试用默认账号:root  密码:root登陆 于是直接进去了,首先看下数据库,除了些初始化的库以外,abc这个库比较在意. 查看一下里面的内容. 这个库估计是各个师傅们在做这个题的时候为了getshell创建的. 很明显是有个字段名是php一句话木马,之前没怎么接触数据库的getshell,于是百度了一波 参考博文https://www.cnblogs.com/Oran9e/p/8873091.html 结合这…

1.一开始就是一个时钟界面 2.扫描目录发现/list 目录 打开是后台登陆,看了一下源码,也没发现什么,焦灼... 3.百度上搜了一波wp,发现原来在css里面藏了东西 后台的背景图片居然是这样读取的,估计可能有文件读取漏洞, 另外,抓包发现页面是jsp写的 尝试读取配置文件web.xml Payload: http://111.198.29.45:32744/loadimage?fileName=../../WEB-INF/web.xml 本地用notepad++打开 配置文件里面写的是St…

在用C#开发Web应用时有个痛点,就是本机用VS开启Web应用调试时外部机器无法访问此Web应用.这里将会介绍如何通过设置允许局域网和外网机器访问本机的Web应用. 目录 1. 设置内网访问 2. 设置外网访问 1. 设置内网访问 在设置之前,本机环境如下: 操作系统:win7 IDE:Visual Studio 2010 应用:ASP.net 想要实现局域网内其他机器访问本机web应用包含以下4步: 第一步:设置启动方式为IIS Express Visual Studio 运行Web应用时,默…

先准备一个网页 <html><meta http-equiv="Content-Type" content="text/html; charset=gbk" /> <title>测试编码</title> <body> <form id="form1" name="form1" method="post" action="http:/…

web服务器是如何工作的 1989年的夏天,蒂姆.博纳斯-李开发了世界上第一个web服务器和web客户机.这个浏览器程序是一个简单的电话号码查询软件.最初的web服务器程序就是一个利用浏览器和web服务器软件之间的联系,将存储在硬盘上的文件传递给远程的读者. web服务器软件主要是提供web服务的软件,为浏览器提供http数据的支持. 它无非就是把硬盘上的文件 以http数据流 的形式提供给web服务器,这就是它的基本用途.这个基本用途就是作为web服务器软件的发明人蒂姆.博纳斯-李发明web服…

前面有一篇讲解如何在spring mvc web应用中一启动就执行某些逻辑,今天无意发现如果使用不当,很容易引起内存泄露,测试代码如下: 1.定义一个类App package com.cnblogs.yjmyzz.web.controller; import java.util.Date; public class App { boolean isRun = false; public App() { isRun = true; } public void start() { while (is…

(更新:https://www.cnblogs.com/index-html/p/frontend_kdf.html ) 0x00 前言 天下武功,唯快不破.但在密码学中则不同.算法越快,越容易破. 0x01 暴力破解 密码破解(严格地说应该是账号口令的破解),就是把散列值还原成明文口令.这貌似有不少方法,但事实上都得走一条路:暴力穷举.(也许你会说还可以查表,瞬间就出结果.虽然查表不用穷举,但表的制造过程仍然需要.查表只是将穷举提前了而已) 因为散列计算是单向的,是不可逆的,所以只能穷举.穷举…

使用Nodejs搭建Web服务器是学习Node.js比较全面的入门教程,因为要完成一个简单的Web服务器,你需要学习Nodejs中几个比较重要的模块,比如:http协议模块.文件系统.url解析模块.路径解析模块.以及301重定向问题,下面我们就简单讲一下如何来搭建一个简单的Web服务器. 作为一个Web服务器应具备以下几个功能: 1.能显示以.html/.htm结尾的Web页面 2.能直接打开以.js/.css/.json/.text结尾的文件内容 3.显示图片资源 4.自动下载以.apk/.…