8.7k8 分钟

# 文件 # 奇怪的要求~ 1、请大家写一个文件上传的表单,用于向服务端上传文件,并用 php 作为后端,抓包分析这个请求体的结构是什么样的呢? <!-- 前端表单 --> <form action="upload.php" method="post" enctype="multipart/form-data"> <input type="file" name="myfile"> &l
4k4 分钟

# 类型 # 存储型 XSS 一般是将恶意代码通过交互界面上传到后端,然后从而上传到数据库中,当管理员 admin 查询数据库的信息时,恶意脚本又从后端到了前端,这也就是存储型 XSS 的数据流通。 // 后端要存储到数据库中 # 测试 在评论区中输入 <script>alert (1)</script > 能够成功弹窗 # 反射型 XSS 需要欺骗用户自己去点击链接才能触发 XSS 代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。大多数是用来盗取用户的 Cookie 信息。 // 前端显示了我们的输入
15k14 分钟

# 重要的玩意儿 注入一定要注释后面的,使用 -- 时注意前后要空格,要不然滚去用 # information_schema 是自带的数据库 其中有三个表,分别是: 1. schemata 其中只有一个字段 schemata_name 存放所有库的库名 2. tables 俩字段 tables_schema 存放所有库的库名 table_name 存放所有表名 3. columns 三个字段,前两个同 tables(完全一样,不用改名) column_name 存放所有的字段名 需要说明的是,在表中,行都是数据,列都是字段,一个数据可以对应多个字段。 字段 1,字段 2...
1.3k1 分钟

一个不太冷的冷知识: 前几个 win 的形象都是小日子那边的官方搞的。但是 win11 这个最早是我们国家的画师(作者在 b 站有号,最早发布在 pixiv)搞出来的,不知道为什么广为流传,甚至有国外画师的二创。 这还不是最离谱的,甚至微软官方都把其他画师的相关图拿出来了。 这也能转正,我是没想到的。 下面是微软官方的视频 <blockquote class="tiktok-embed" cite="https://www.tiktok.com/@windows/video/7423542
1.9k2 分钟

# IDA ida 插件环境: 1. 至少 Python3.8 2. 多个使用 IDA 目录下的 idaplyswitch.exe 插件: 直接把 xxx.py 放到目录的 plugins 目录 KeyPatch (修改汇编) 依赖安装:pip install keystone-engine LazyIDA (提取,批量修改) 至于用 64 还是 32,可以用查壳软件直接看 在 linux 下也可以使用 file 命令 但是实际上可以试错,不是直接打不开然后提醒,就是反汇编时会提醒 # function 窗口 按 G 可以地址导航,按 TAB 显示伪代码 在该窗口中使用 Ctrl+F 就可