xi3w3n’s Blog

一、前言由于刚好学到这一块的知识，所以先记录一下，还需要不断努力呀。二、xml1、概述 XML 指可扩展标记语言（EXtensible Markup Language） XML 是一种标记语言，很类似 HTML XML 的设计宗旨是传输数

2021-07-13 ctf

一、apache解析漏洞1、多后缀开启apache配置文件中的配置项AddType application/x-httpd-php .php，这时服务器就会解析带有.php的url。例如：.php.xx 2、.htaccess文件.htac

2021-07-10 ctf

web ctf 文件上传

一、文件上传1、概述上传文件的时候，如果服务器端脚本语言（PHP），未对上传的文件进行严格的验证和过滤，就有可能上传恶意的脚本文件，从而控制整个网站，甚至是服务器。 2、实验环境实验第四关之前是在centos7下的，第四关后是在win7+p

2021-07-10 ctf

web ctf 文件上传

前言这篇文件用于记录做ctf中获取到的零碎的知识点(碰到就记录，不断更。。)，主要还是学习没有完整的过一遍，导致好多知识点没有接触过。一、php相关1、<?= $cmd ?> 等于 <?php e

2021-07-08 ctf

web

一、常用函数记录一下mysql中比较常用的函数 1）数据库的版本select version();select @@version; 2）数据库名称select database(); 3）用户名select user(); select

2021-06-25 数据库

mysql sql注入

一、前言详细的写一写sqli-labs第一关（less-1），没事的时候还能回来看看，之后关卡就写写思路了不会这么详细（好累~）二、开始1、找注入点输入?id=1'报错，url为： http://10.1.2.

2021-06-23 sql注入

web sql注入 sqli-labs

一、union注入下的读文件1、概述在MySQL中，LOAD_FILE()函数读取一个文件并将其内容作为字符串返回。 2、使用条件1）存在union注入2）知道文件的绝对路径3）没有单引号与双引号过滤4）mysql有读文件的权限 3、开启m

2021-06-22 sql注入

一、sql注入1、概述SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，主要是针对程序代码没有对用户提交的参数进行过滤，导致不需要账号密码即可执行sql语句达到获取到数据库中的数据。 2、sql注入类型1）整形输

2021-06-22 sql注入

web mysql sql注入

一、前言这篇文章是为了准备即将到来的线下赛，到时候估计不能联网所以。。。二、常用命令1、口令修改需要修改的口令包括：ssh弱口令、CMS后台弱口令、数据库root口令 1）修改ssh口令这个一定要修改，首先登陆SSH，然后：passwd

2021-06-15 ctf

awd

一、数据库环境准备1、破解navicat参考这个网站 2、远程连接我是去连接虚拟机的mysql，但是远端服务器拒绝访问（1）进入虚拟机的mysql的命令行，并输入密码（2）use mysql; （3）查看能远程访问root的主机地址，

2021-06-14 数据库

mysql

一、配置思路首先在云服务器上配置git仓库（nginx默认装好的，本文章不写其他东西），然后再本机win10配置ssh证书并且建立信任链接，最后是发布前的配置。二、服务器配置我用的是腾讯云服务器centos7 1、安装git环境1）用xs

2021-06-11 博客

blog

awd概述awd流程awd的模式主要是分有靶机，每个队的靶机初始内容都是一样，根据给的账号先对自己的靶机进行前期加固。接着就是找靶机的漏洞，利用这个漏洞去攻击其他队的靶机，最后提交flag得分。期间需要对自己发现的漏洞对自己的服务器进行修

2021-06-09 ctf

awd