阿浩の博客

ASP是什么 ASP 指 Active Server Pages （动态服务器页面） ASP 是一项微软公司的技术 ASP 是在 IIS 中运行的程序 IIS 指 Internet Information Services （Intern

2023-06-02 渗透测试

渗透测试 ASP安全漏洞分析

前言：上一篇文章分析SQL注入漏洞，针对数据库类型以及高权限注入没有完全分析完，这一篇文章接着分析。不通数据库类型权限操作区分： Access 无高权限注入点-只能猜解，而且暴力猜解，也可以根据它数据库的特性猜解 MYSQL，Pos

2023-06-01 渗透测试

渗透测试漏洞分析

SQL注入原理脚本代码在实现代码与数据库进行数据通讯时，将定义的SQL语句进行查询数据时。其中的SQL语句能通过参数传递自定义值来实现控制SQL语句，从而执行恶意的SQL语句，可以实现查询其他数据（数据库中的敏感数据，如管理员账号密码）。

2023-06-01 渗透测试

渗透测试漏洞分析

SSTI漏洞原理漏洞成因就是服务端接收了用户的恶意输入以后，未经任何处理就将其作为 Web 应用模板内容的一部分，模板引擎在进行目标编译渲染的过程中，执行了用户插入的可以破坏模板的语句，因而可能导致了敏感信息泄露、代码执行、GetShel

2023-05-28 渗透测试

渗透测试漏洞分析 CTFSHOW

web21 打开题目，随便输入用户名admin和密码（密码随便）：抓包准备爆破，从数据包中可以看出输入用户名和密码是被一起，用base64解密一下，可以看得出，用户名和密码在数据包中的格式为：用户名:密码，接下来准备爆破要把UR

2023-05-27 CTF

CTF CTFSHOW 爆破

web1 直接F2查看源代码，或者ctrl+u查看源码，flag就在注释里面。 web2 这一关它限制了鼠标右键和键盘F12，但ctrl+u便可看到源代码，flag就在注释里面。 web3 打开，一看通过查看源代码，并没有看出有什么特殊

2023-05-26 CTF

CTF 信息收集 CTFSHOW

架构网站源码是什么语言搜索引擎获取 URL文件后缀搭建组合推算网站中间件通过返回数据包查看搭建组合推算端口扫描数据库通过常见的中间件与数据库的组合方式端口扫描网站属于什么系统大小区分 Wind

2023-05-26 渗透测试

渗透测试信息收集

登录tty的快捷键 Ctrl + Alt + F1：回到图形界面 Ctrl + Alt + F2：terminal 1（:0 大致等于tty 1） Ctrl + Alt + F3：terminal 2（tty2） Ctrl + Alt +

2023-03-15 服务器

服务器 Linux

misc的四大部分：文件操作与隐写图片隐写术压缩文件处理流量取证技术压缩文件处理压缩文件分析伪加密如果压缩文件是加密的，或文件头正常但解压缩错误，首先尝试文件是否为伪加密。zip文件是否加密是通过识别符来显示的，在每

2023-02-25 CTF

CTF misc

列表排序排序：将一组“无序”的记录序列调整为“有序”的记录序列列表排序：将无序列表变为有序列表输入：列表输出：有序列表升序与降序内置排序函数：sort() 冒泡排序(Bubble Sort) 列表每两

2023-02-24 数据结构与算法

python 数据结构与算法

归并排序归并假设现在的列表分两段，如何将其合成一个有序列表这种操作称为一次归并使用归并分解：将列表越分越小，直至分成一个元素终止条件：一个元素是有序的合并：将两个有序列表归并，列表越来越大代码示

2023-02-24 数据结构与算法

python 数据结构与算法

堆排序前传 - 树与二叉树树树是一种数据结构树是一种可以递归定义的数据结构树是由几个节点组成的集合如果n=0，那这是一棵空树；如果n>0，那存在1个节点作为树的根节点，其他节点可以分为m个集合，每个集合本身又

2023-02-24 数据结构与算法

python 数据结构与算法