🔮
🔮
rce 代码&命令执行漏洞
代码执行原理:将phpinfo()函数代入到代码中执行.常用函数:eval(),assert()例:$code=$_get['c'];eval($code);命令执行原理:将ver当作系统命令去执行常用函数:system(),exec(),shell_exec().passthru,popen...
阅读更多 →
🔮
ssrf,服务器请求伪造
1.原理:服务器可以对其他服务器应用获取数据的功能,且没有对目标地址进行过滤和限制.导致攻击者可以伪造服务器请求对其他服务器进行攻击2.ssrf常用伪协议a.http://b.file://c.dict://3.绕过方法a.IP进制转换b.短地址c.将127.0.0.1绑定域名!!!牛逼d.限...
阅读更多 →
🔮
sql注入判定
1.整形判定:整型的特点是输入任意字符,包括单引号、双引号、字母都会出现报错.也可以尝试加减法判定,注意'+'可能会有特殊含义2.字符判定:可以使用and进行闭合判定,如1'and' 、1'and''='1、'and'.或者使用双单引号进行判定,奇数双引号出现报错,偶数双引号不会出现报错,还可...
阅读更多 →