Nov082021
文件上传
文件上传
1. 文件类型检测绕过
1.1. 更改请求绕过
有的站点仅仅在前端检测了文件类型,这种类型的检测可以直接修改网络请求绕过。 同样的,有的站点在后端仅检查了HTTP Header中的信息,比如 Content-Type 等,这种检查同样可以通过修改网络请求绕过。
1.2. Magic检测绕过
有的站点使用文件头来检测文件类型,这种检查可以在Shell前加入对应的字节以绕过检查。几种常见的文件类型的头字节...阅读全文
作者:绝缘体.. | 分类:apache, html, Linux, PHP, windows, 开发工具, 操作系统, 编程语言 | 阅读: | 标签:Apache, html, Linux, PHP, windows
抢沙发
Nov082021
前端技术栈:从基础到进阶的全面解析
在当今的软件开发领域,前端技术栈已经成为一项至关重要的技能。随着技术的不断演进,前端开发人员需要掌握一系列工具和框架,以便高效地构建用户友好、性能卓越的Web应用程序。本文将全面解析前端技术栈,从基础到进阶,帮助读者构建完整的知识体系。
一、前端基础
HTML:超文本标记语言是构建网页的基础。了解HTML的结构、标签和属性是前端开发的基础。
CSS:层叠样式表用于描述网页的...阅读全文
Nov012021
linux curl获取头部信息,curl 命令如何获取 http header 返回的响应消息头
curl 命令如何获取 http 请求的响应消息头信息?
主要有两种方式:
(1) 通过 –head 选项只返回消息头,等价于 -I,示例如下:
[demo@Linux ~]$ curl --head http://www.phpernote.com/
curl –head www.phpernote.com
HTTP/1.1 301 Moved Permanently
Server: nginx
Date: Wed, 03 Nov 2021 07:18:26 GMT
Content-Type: text/html
Content-Length: 162
Connection: keep-alive...阅读全文
Oct252021
sqlmap之绕过waf思路
1.设置请求头
--random-agent
--user-agent="User-Agent':'Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)"
--user-agent="Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
2.设置代理
--proxy=http://127.0.0.1:8080
3.设置延迟
--delay=1
4.利用–tamper参数中的编码脚本
常见编码搭配方式普通tamper搭配方式:
tam...阅读全文
Oct202021
前端开发框架比较:React vs Vue vs Angular
在前端开发领域,React、Vue和Angular都是非常受欢迎的开发框架。它们都具备不同的特点和优势,下面将对它们进行比较,帮助你选择最适合自己的框架。
React
React由Facebook开发,并且已经被广泛使用在许多大型项目中。以下是一些React的特点:
组件化:React非常强调组件的概念,将应用程序拆分成多个可复用和可维护的组件。
虚拟DOM:React使用虚拟DOM来减少实际DOM操作的次数,提高性...阅读全文
Oct192021
73:应急响应-WEB分析php&javaweb&自动化工具
应急响应:
保护阶段,分析阶段,复现阶段,修复阶段,建议阶段
目的:分析出攻击时间,攻击操作,攻击后果,安全修复等并给出合理解决方案。
必备知识点:
1.熟悉常见的 WEB 安全攻击技术
2.熟悉相关日志启用及存储查看等
3.熟悉日志中记录数据分类及分析等
准备工作:
1.收集目标服务器各类信息
2.部署相关分析软件及平台等
3.整理相关安全渗透工具指纹库
4.针对异常表现第一时间触...阅读全文
Oct182021
如何用JavaScript实现一个拖拽效果
简介
在前端设计中,拖拽效果是一个常见的交互设计,它可以增强用户体验并提高应用程序的易用性。本文将介绍如何使用JavaScript实现一个简单的拖拽效果,并提供相关代码示例。希望能为大家提供一些有用的技巧和指导。
实现步骤
以下是实现拖拽效果的步骤:
1. 获取需要拖拽的元素
在HTML中,首先需要获取需要进行拖拽的元素。可以通过标签的id或类名来选择元素。
<div id="dragElement...阅读全文
Oct152021
快速应对JQuery中的Uncaught TypeError: xxx is not a function错误信息
问题描述
在使用JQuery进行开发过程中,有时会遇到Uncaught TypeError: xxx is not a function错误信息,这个错误提示说明我们在JQuery中调用了一个未定义的函数或方法。这种错误信息在开发中非常常见,但也有让人头疼的时候。本篇博客将快速介绍如何应对这类错误信息,以提高开发效率。
错误原因
产生此错误的原因可能有以下几种:
调用的函数名错误。在调用函数时,可能因为拼写错误或...阅读全文
Oct112021
68:内网安全-域横向PTH&PTK&PTT哈希票据传递
思维导图
知识点:
PTH (pass the hash) 利用lm或者ntlm的值进行的渗透测试
PTT (pass the ticket) 利用的票据凭证TGT进行的渗透测试
PTK (pass the key) 利用的ekeys aes256进行的渗透测试
PTH在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash远程访问主机或者服务,而不提供明文密码。
如果禁用了ntlm认证,PsExec工具无法利用获得的ntlm ha...阅读全文
Oct112021
67:内网安全-域横向smb&wmi明文或hash传递
思维导图
知识点1:
Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码
针对以上情况,我们提供了4种方式解决此类问题
1.利用哈希hash传递(pth,ptk等)进行移动
2.利用其它服务协议(SMB,WMI等)进行哈希移动
3.利用注册表操作开启Wdigest Auth值进行获取
4.利用工具或第三方平台(Hachcat)...阅读全文