不知道能不能解决, 1.登录阿里云后台,找到后门文件删除 2.执行 中国镜像 composer config -g repo.packagist composer https://packagist.laravel-china.org 更新框架 composer update topthink/framework 3.一直到阿里云后台提示的漏洞修复全部解决 4.删除编辑器?…

在windows上运行好好的项目,迁移到Linux上就遇到了很多问题,其中最为重要的是网站目录权限的设置,当然简单期间你可以用 命令 "chmod 777 -R you web site" ,这样你就不用担心项目运行的时候会涉及到权限问题.通常来说如果你的项目时部署在公网或者是部 署在租用的Linux服务器上不建议这么做,应为如果这样设置了那么任何用户都可以对这个站点下的文件,目录进行操作,这样也会影响网站的运营, 同样不安全.下面以ubuntu14.4 系统为主进行分析. 最简单的做…

THINKPHP漏洞修复,官方于近日,对现有的thinkphp5.0到5.1所有版本进行了升级,以及补丁更新,这次更新主要是进行了一些漏洞修复,最严重的就是之前存在的SQL注入漏洞,以及远程代码执行查询系统的漏洞都进行了修复,官方本以为没有问题了,但是在实际的安全检测当中发现,还是存在问题,还是可以远程代码进行注入,插入非法字符,提交到服务器后端中去. 关于这次发现的oday漏洞,我们来看下官方之前更新的代码文件是怎么样的,更新的程序文件路径是library文件夹下的think目录里的app.p…

VS2013在WIN8下扁平的UI和我今天锈垢的大脑,让找这个设置找了好半天!!!   OK,言归正传.   在要发布的网站上右键,选择"发布网站".   在发布窗口中,会让你选择一个发布配置文件,没有的话点击下拉菜单在里面选择新建一个. NEXT.   好,现在发布一下网站.发布出来的文件没有包含*.cs文件. 打开bin目录,会发现其中有一个名字为STAROCK_PAGES.dll文件,这就是之前根据设置生成的预编译文件.     OK,就到这里吧,很简单,只是一开始真心没注意到那…

  在要发布的网站上右键,选择"发布网站".   在发布窗口中,会让你选择一个发布配置文件,没有的话点击下拉菜单在里面选择新建一个. NEXT.   好,现在发布一下网站.发布出来的文件没有包含*.cs文件. 打开bin目录,会发现其中有一个名字为STAROCK_PAGES.dll文件,这就是之前根据设置生成的预编译文件.…

webshell文件上传漏洞分析溯源(第一题) 我们先来看基础页面: 先上传1.php ---->   ,好吧意料之中 上传1.png  ---->   我们查看页面元素 ----->   ,也没有前端验证 看来只能用burp抓包来改包绕过,我们修改1.php  ---->   1.php .png ,然后上传抓包改包 0x20 -----> 0x00 webshell文件上传漏洞分析溯源(第一题) 我们先来看基础页面: 先上传1.php ---->   ,好吧意料之中…

ThinkPHP 模拟了 Java 的类库导入机制,统一采用 import 方法进行类文件的加载.import 方法是 ThinkPHP 内建的类库和文件导入方法,提供了方便和灵活的文件导入机制,完全可以替代 PHP 的 require 和 include 方法. 但对于第三方类库,我们建议使用 vendor 方法来导入. import 语法: boolen import(class, baseUrl, ext) 参数说明: 参数 说明 class 必须,表示要导入的类库,采用命名空间的方式.…

前一段时间一直被wap网站的自适应困惑…… 仔细研究了一下新浪的wap网站,发现原来我们的head存在着这样的差异…… <%@page contentType="text/html;charset=UTF-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "DTD/xhtml1-strict.dtd"> <html xmlns="ht…

固件是D-link无线路由器(型号:DIR-100 revA)的固件程序 v1.13.使用工具Binwalk,很快的就从中发现并提取出一个只读SquashFS文件系统,没用多大功夫我就将这个固件程序的web server(/bin/webs)加载到了IDA中: /bin/webs中的字符信息 基于上面的字符信息可以看出,这个/bin/webs二进制程序是一个修改版的thttpd,提供路由器管理员界面操作功能.看起来是经过了台湾明泰科技(D-Link的一个子公司)的修改.他们甚至很有心计的将他们很…

---恢复内容开始--- 文件已经加密,可以在此下载:index.php 文件内容打开大概如此: 简单字符替换之后,发现字符串用base64_decode仍无法解码. 找到一个解码网站:找源码 解码后的文件如下:下载地址 尾部仍然有大量未知编码内容. 简单修改,改为 $ret = ($wmostynefr[].....); ..... print($ret) 然后运行该代码片段,>php tmp.php >output.php 得到output.php文件内容:output.php,还是存在大…

本文来源:https://www.webshell.ren/post-308.html 今天有一位朋友发一个上传点给我 我一看是南方cms 有双文件上传漏洞 本来可以秒的 但是看到了 安全狗 从图片可以看到http返回信息 有安全狗拦截  哪怎么办呢   我也是搞了以前私藏的姿势 后来发现都不行 发现行不通 只能继续搞 之后发现Content-Type: multipart/form-data; boundary= 这个数据包 会不会是安全狗 通过这个后面的字符串来验证 在头字符串后面随便添加字…

本文原创作者:Laimooc(原名xoanHn) 很多时候呢,我们拿到一个shell以后,偶尔会遇到密码解不了的情况,用xss收集cookie吧,感觉不方便:利用xss平台劫持表单吧,感觉麻烦,也会担心自己想要的密码别人也copy了一份等等情况吧,这个时候我们就需要自己想办法来收集想要的PWD…… 最简单了,看别人的登陆界面如下: I春秋的登陆界面,我们可以看到用户和密码的的name属性分别是:“username还有password“,当然针对i春秋这样的cms,你若是巧合的拥有这样类似的网站s…

网站源码 进入环境,首先我们用bp抓一下包 在HTTP请求方式GET/后添加两个负载,一个用于爆破文件名,一个用于爆破后缀名 得知网页源码的备份形式为www.zip,下载网页源码 打开记事本文件 发现是这个东西 通过url访问即可得到flag Bak文件 打开环境我们查看源码发现备份文件为bak,并且得知flag在index.php里,尝试index.php.bak 将文件下载打开我们便得到了flag…

今天后端的同事遇到这么个问题,引入了外部css文件也能访问,就是页面上没有效果. 大概是下面这个样子: css引入如下: 我非常的纳闷,说真的我还没遇到过这种情况,UI是可以运行的,一点事都没有... 没办法只有对比检查了,发现了问题所在 ,link没有加 rel="stylesheet" 属性, (以前都是自动完成,没怎么在意,汗~~) 于是就加上这个属性,就可以了(>﹏<) 这个属性是必须的,说白了就是指明你链进来的对象是个什么东西的,(我们这里指名被链接的文档是一个样…

wget是linux下命令行的下载工具,功能很强大,它能完成某些下载软件所不能做的,比如如果你想下载一个网页目录下的所有文件,如何做呢?网络用户有时候会遇到需要下载一批文件的情况,有时甚至需要把整个网站下载下来或者制作网站的镜像.在Windows下的用户都比较熟悉 Teleport,webzip等等网站下载工具,实际上AIX中也完全可以做到这样的功能,那就是利用wget工具.wget是一个命令行工具,用来下载网络文件或者整个网站,它具有自动重试.断点续传.支持代理服务器等等强大的功能.它可以完全…

今天重新安装了myeclipse10软件,然后在破解的时候发现安装目录下没有common,这是因为以前安装过myeclipse,卸载时没有完全清除,再次安装时,myeclipse会自动找到以前安装的common,而不是再次安装 如何才能找到common文件夹呢? 1. 首先打开myeclipse 2. 找到myeclipse的顶部导航栏"myclipse"选项然后打开"Installation Summary..."然后会打开一个面板,就能看到你久违的"I…

本文转自:http://www.cnblogs.com/Leung/archive/2009/10/26/1590256.html 在网站开发过程中,通常我们会对网站的静态文件做处事,像图片文件,CSS,JS文件,其实以前也写过类似的文章,现在只是做一个针对性的总结下. JS文件处理: 网站优化来说,其实是见议我们放在网页最后来来加载,因为JS文件它是一个阻塞模式,当一个线程在下载JS文件时需要等它下载完才能接着加载下面的内容,那么如果把JS放在网页的头部这样会有一个阻塞下载,如果网速慢的话,下…

Microsoft Files是一个微软的文件数据库,从这里可以很方便的找到各个文件版本对应的下载链接. 比如今天debug需要找一个特定版本的sos.dll,从这个网站就很方便的给出了这个sos.dll所在的patch和下载地址,还是很方便的.…

需要下载某个目录下面的所有文件.命令如下 wget -c -r -np -k -L -p www.xxx.org/pub/path/ 在下载时.有用到外部域名的图片或连接.如果需要同时下载就要用-H参数. wget -np -nH -r –span-hosts www.xxx.org/pub/path/ -c 断点续传 -r 递归下载,下载指定网页某一目录下(包括子目录)的所有文件 -nd 递归下载时不创建一层一层的目录,把所有的文件下载到当前目录 -np 递归下载时不搜索上层目录,如wget…

其实大部分解决办法在网上都有的,例如这里: https://blog.csdn.net/shiyuehit/article/details/53262807 eclipse下无法自动编译或编译失败等问题解决办法 1.确保 project->build automatically 已经被选上. 2.如果选上了,也不好使, 使用这一招: project->clean..->选第2个clean select project, 勾上start build immediatelly 3.删除现在的…

1,把psd文件另存为eps文件(ai能打开的格式),前提图标有路径, 2,用ai打开eps文件 3,新建一个空白文件100*100,然后把图标复制进来,等比拉宽至最大化 4,如果图标有蒙版,就点击图标右键“释放剪切蒙版”,然后把蒙版删掉,左键单击黑色幕布,使图标失焦(后来我发现其实不用释放蒙版会比较好,释放的话有的矢量图生成icon的时候,会分成几个部分) 5,按删除键删除黑色幕布,剩下图标的路径 6,点击左边工具栏“颜色”,使路径上色,黑色即可 7,保存svg格式 8,命名为图标形象即可,比…

1.无论是那个框架的导入,其实都是一样的原理的,但是首先我们要导入包,可能就这点不同. kohana的导入包的方法:require_once(Kohana::find_file('vendor','PHPExcel/PHPExcel/IOFactory'));thinkphp的导入包的方法: require_once('文件路径') 2.那就是写代码了: /**默认用excel2007读取excel,若格式不对,则用之前的版本进行读取*/$PHPReader = new PHPExcel_Rea…

有时候需要在框架中动态的加载一些文件,文件名不确定,有控制器获取得到,想在模板中使用变量的形式进行加载,本以为这样写可以 结果不行 <include file="User/{$my_tpl}" /> 模板解析直接丢失了这一行,runtime的缓存文件里面找不到这一行的解析结果,然后想了想估计是变量在标签之后解析导致的.然后再网上找到了解决方法不过比较麻烦 方法1. http://www.thinkphp.cn/code/1260.html 方法2. http://www.t…

TP3.2的具体解释: ThinkPHP采用单一入口模式进行项目部署和访问,无论完成什么功能,一个应用都有一个统一(但不一定是唯一)的入口. 应该说,所有应用都是从入口文件开始的,并且不同应用的入口文件是类似的. 入口文件定义 入口文件主要完成: 定义框架路径.项目路径(可选) 定义调试模式和应用模式(可选) 定义系统相关常量(可选) 载入框架入口文件(必须) 自己理解: 一般情况下TP访问一般都是,域名/模块/控制器/方法       访问的, 1.有利于维护前台和后台 2.有利于维护,方便调…

这道题也是借助大佬的帮助才成功,具体我们来看: 既然人家扫描发现后台目录有文件上传,我们也不能落后,顺便拿出了传说中的御剑,并进行一波扫描: 发现了几个比较有用的目录,特别是upload1.php跟upload2.php两个上传页面 我们先来访问upload1.php: 点击确定后是upload2.php,竟然是一片空白 不过中间好像有个上传的页面一闪而过,我们用burp抓包,来一页一页看页面 果然有这个页面,但是抓包的cookie引起了我们的注意: Cookie: uploadmd5=veri…

1:  获取网站根目录的方法有几种如: Server.MapPath(Request.ServerVariables["PATH_INFO"])Server.MapPath("/")Server.MapPath(".")Server.MapPath("../")Server.MapPath("~/") 2: Global.asax文件里获取获取网站根目录: Global.asax文件里没有请求上下文所以以上…

资源合并 前端开发者都知道,过多的请求对性能影响很大.而且有些 CDN 不仅按流量收费,请求数也收费,如果网页里有大量小文件,显然不划算. 为此不少开发者将零碎的小文件进行合并优化,例如 JS/CSS 合并在一起,图片合并成精灵图等. 不过传统的合并方式有一定的局限性,只能合并同类型的文件.例如 JS.CSS 等文本格式的数据可以合并,但 JS 和图片显然无法合并,毕竟一个是文本格式,一个是二进制格式.而且合并过程需对现有资源进行修改,最终发布的文件与原始文件差异很大. 有没有什么办法,可将任何…

1.ZIP java压缩和解压库 项目地址:https://github.com/zeroturnaround/zt-zip 文档介绍:https://github.com/zeroturnaround/zt-zip#examples 作用:(1) 解压和压缩,并支持文件夹内递归操作 (2) 支持包含和排除某些元素 (3) 支持重命名元素 (4) 支持遍历zip包内容 (5) 比较两个zip包等功能 2. aFileChooser 文件选择器,可内嵌到程序中,而无需使用系统或三方文件选择器. 项…

先看html加个表单,注意这里的action 路径要选 对. <div> <form action="__URL__/add_img" enctype="multipart/form-data" method="post" style="padding:10px;" > 图片宽度:<input type="text" name="width" /> 图…

使用tp做一些上传的功能,的确挺方便.但是在一些特殊情况下无法单独的使用tp的上传功能, 或者需要做一些比较酷炫的上传效果,这里就需要用到框架了. 我在这里使用的是uploadify上传插件. 首先需要到官网上下载最新的uploadify插件,下载成功后一般会有php的代码. 只需要根据需要把相应的代码写正确就可以了 下面是详细操作步骤: 首先:需要引入jquery文件(这个是必不可少的),以及uploadify中的css文件和上传动画文件. 例如我的: 接下来是html代码: 需要注意的是id…