Insert_injection

RCTF文件名注入,感觉挺有意思,就记录一下。RCTF的那题是把文件名单独提取出来如:xxxx.jpg.提取出 xxxx insert into 到数据库中再通过 select 显示到网页中。要想进行注入,我想到的办法是。同时插入几条数据(为了逃逸单引号),第一条补全前面的括号,第二条执行命令并将结果插入数...

- 阅读剩余部分 -

Upload_Bypass_Summary

0x01 上传检测 1.javascirpt的检测 2.MIME类型的检测 3.目录路径的检测 4.文件扩展名的检测(黑名单,白名单) 5.文件内容的检测0x02 截断上传有一些网站写的上传规则是: 1.获取文件存放位置 2.获取文件 3.获取文件后四位,匹配...

- 阅读剩余部分 -

2015-10-26

今天重庆下雨,我是喜欢下雨的天气的,感觉整个人都会静下心来。以前写的总结看了下,很浅薄,然后添了点东西,想给发到我博客的小学弟们一点点帮助,但是手抖点错给删了...然后去群里看了下学弟们讨论的内容有点感想,再加上最近的心情,也就想写一篇算是随笔之类的东西吧今年招到了很多很牛的小学弟,他们的见闻可能比我都要广...

- 阅读剩余部分 -

VIM 简单使用总结

懒懒哒性格,总结下,以后好找,也是为了学习。打开vim filename 打开vim并创建名为filename的文件在vim窗口中打开一个新文件:open file在新窗口中打开文件:split file切换到下一个文件:bn切换到上一个文件:bp打开远程文件,比如ftp或者share folder:e ft...

- 阅读剩余部分 -

Mark

sqlmap tamper脚本绕过waf wooyun