格言警句
Numquam ponenda est pluralitas sine necessitate.(避重趋轻),Pluralitas non est ponenda sine necessitate.(避繁逐简),Frustra fit per plura quod potest fieri per pauciora.(以简御繁),Entia non sunt multiplicanda praeter necessitatem.(避虚就实),如无必要,勿增实体 ———— 奥卡姆剃刀定律
关于hexo博客matery主题代码块的标签逃逸问题 关于hexo博客matery主题代码块的标签逃逸问题
开始水篇博客,就目前来说,这就是一个小问题,没啥利用点 本来打算交补天,在按提交的一瞬间,我感觉水补天好像不太好,就COPY了来水博客了 发现的东西不写不舒服 先放一些代码 ] <h1>&aaa;</h1>
2021-12-12 Atmujie
菜鸟随笔-内网渗透 菜鸟随笔-内网渗透
某菜鸟最近开始遇到涉及内网的题目,加上十分想出一道和内网有关的题,开始了对内网的学习之旅 我还是挺喜欢写菜鸟随笔的,可以完全放飞自我,然后写一点自己理解的叶不知道对还是错的东西 注:通篇都是某菜鸟自己的理解,如有错漏,那就去看看原文吧 内网
2021-11-25 Atmujie
记2021年终内部赛 记2021年终内部赛
awd攻击函数集合这里我比赛前就写好了,不过他出了些问题,裂开,正好乘机修一下 # TODO 调用第三方库 import base64 import os import re import random import requests im
2021-11-22 Atmujie
极客大挑战2021wp-Web[部分] 极客大挑战2021wp-Web[部分]
极客大挑战2021_wp_WEB(部分)Dark 网址以.onion为后缀,这是洋葱浏览器的网址后缀,下载洋葱浏览器访问即可拿到flag flagSYC{hav3_fUn_1n_darK} Welcome2021 查看源码 Burp改
2021-11-19 Atmujie
nosql注入浅析 nosql注入浅析
概述Nosql并不特定的指某个数据库,而是泛指非关联型数据库 +++ +++ 关系型数据库和非关系型数据库关系型数据库,是指采用了关系模型来组织数据的数据库。 简单来说就是以二维表格模型及其之前的联系组成的数据库 除开关系型,不以数据间
2021-11-08 Atmujie
菜鸟随笔-PHP裸文件本地包含 菜鸟随笔-PHP裸文件本地包含
对这个知识点的思考起源于前两天打的两场CTF,题目源码如下 <?php error_reporting(0); @$file = $_GET["file"]; @$dir = $_GET["dir"]; function waf()
2021-11-02 Atmujie
伪造恶意mysql 伪造恶意mysql
原理简析看了网上关羽这方面的几篇文章,我觉得这个漏洞还是比较有意思的,虽说一般不会用到 就现在来说,往往服务器对安全的防御是比较高的,而个人主机,或者说客户端则不同,往往没有很高的防护,一个杀毒软件就基本了事 恶意mysql利用了一个很有意
2021-10-28 Atmujie
反弹shell 反弹shell
反弹Shell文件描述符原文地址:https://xz.aliyun.com/t/2548 Linux一切皆文件 linux文件描述符:可以理解为linux跟踪打开文件,而分配的一个数字,这个数字有点类似c语言操作文件时候的句柄,通过句柄
2021-10-21 Atmujie
通过revengephp理解thinkphp反序列化链 通过revengephp理解thinkphp反序列化链
理解在此前公开的反序列化链不仅仅是学pop链,更是学习框架调试 5.0.24反序列化漏洞分析 开发人员在写程序时会极力的避免安全问题的发生,所以CTF中通过一个Class文件来进行反序列化的操作几乎时不可能存在的 实际开发在类中很少用到魔术
2021-10-03 Atmujie
记事簿-各语言之间的base编码问题 记事簿-各语言之间的base编码问题
绪论 今天在学长给我的一道题中,我得知了一个我理当知道,却没有仔细去思考过的有趣想象 —— 不同计算机语言对同一编码的处理方式,理应有所差别 base64格式⼤⼩写英⽂, 数字, +, =, / 组成⼀个base64 例⼦⼀:
2021-09-28 Atmujie
SSRF SSRF
SSRF概述SSRF服务器请求伪造 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 简单来说: 服务器或多或少都会开启不止一个端口,有些端口(比如80)是可以从外网访问到的,
2021-09-22 Atmujie
XEE漏洞学习 XEE漏洞学习
XXE——外部实体注入概述XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击 概述 XML 被设计用来传输和存储数据。 HTML 被设计用来
2021-09-17 Atmujie
1 / 3