Mr_King Blog

我愿为你收起翅膀,拔剑而战

sql注入详解总结

SQL注入

sql注入详解总结 1.常用信息语句 当前数据库:database() 当前用户:user() 数据库版本号:version() 当前操作系统:@@version_compile_os 所有用户 select group_concat(user) from mysql.user; mysql在5.7.20版本后添加了两个新的用户 mysql.session和mysql.s...

Posted by mr_king on March 1, 20210

xml实体注入总结

xml

XML实体注入总结 XML简介 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 DTD(文档类型定义) DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。 DTD 可以在 X...

Posted by mr_king on March 11, 2021

xss漏洞总结

xss

XSS漏洞总结 常见的弹窗方式 xss-lab通关记录 less-1 <script>alert('1')</script> less-2 因为插入代码在value值中,闭合value标签,达到弹窗 "><script>alert('1')</script>" less-3 <input>标签的一些特殊事...

Posted by mr_king on March 8, 2021

文件上传漏洞总结

文件上传漏洞

文件上传漏洞总结 [TOC] 文件上传漏洞利用条件 上传的文件能被WEB服务器当做脚本执行 能访问上传文件(知道上传文件路径且能访问) 服务器上传文件命名规则 上传文件名和服务器文件名一致 上传文件名和服务器名不一致(随机,时间戳等),但后缀一致 上传文件名和服务器名不一致(随机,时间戳等),后缀也不一样 ...

Posted by mr_king on January 12, 2021

网管课程服务配置手册

网管课程配置服务 NFS 1.安装 apt-get install nfs-kernel-server 2.启动服务 service nfs-kernel-server start|stop|restart|status 3.配置文件是/etc/exports # /etc/exports: the access control list for filesystems ...

Posted by Mr_King Blog on December 18, 2020

Java-GUI编程

Java_GUI

Java-GUI编程 Swing 简介 Swing 是新一代的图形界面工具。使用 Swing 来开发图形界面比 AWT 更加优秀,因为 Swing 是一种轻量级组件,它采用纯 Java 实现,不再依赖于本地平台的图形界面,所以可以在所有平台上保持相同的运行效果,对跨平台支持比较出色。除此之外,Swing 提供了比 AWT 更多的图形界面组件,因此可以开发出美观的图形界面程序。 Swi...

Posted by mr_king on November 29, 2020

JavaWeb_jsp

Java_Web

JSP [TOC] JSP简介 JSP 与 PHP、ASP、ASP.NET 等语言类似,运行在服务端的语言。 JSP全称Java Server Pages,是一种动态网页开发技术。它使用JSP标签在HTML网页中插入Java代码。标签通常以<%开头以%>结束。 JSP是一种Java servlet,主要用于实现Java web应用程序的用户界面部分。网页开发者们通过结合...

Posted by mr_king on November 26, 2020

聊城比赛writeup

writeup

web1 考点:文件包含 1.注册登录 发现可用php伪协议读取文件 读取源码:php://filter/read=convert.base64-encode/resource=[文件名] 在info.php中发现templates/info.html 读取源码: 发现templates/profile233.html 需要FLAG_SIG==1 全局搜索,...

Posted by mr_king on November 26, 2020

面试准备

writeup

面试 [TOC] sql server SQL服务器角色 sysadmin 可以在 SQL Server 中执行任何活动。 serveradmin 可以设置服务器范围的配置选项,关闭服务器。 setupadmin 可以管理链接服务器和启动过程。 securityadmin 可以管理登录和CREATE、DATABASE权限,还可以读取错误日志和更改密码...

Posted by mr_king on November 26, 2020

网管课分享

分享

命令执行 前言 给大家开了一个真实的环境,大家可以上去试试(一个靶场) 大家悠着点访问:人太多的话,可能会巨卡甚至奔溃(服务器性能不行) http://39.103.131.197:8004/ http://49.234.221.56:8004/ 这是我的阿里云服务器,别乱搞哦。。。。(相当与我给大家授权了) 首先声明一点:在做任何渗透测试之前,没有授权是违法的哦,在未授权的情况...

Posted by mr_king on November 18, 2020

FEATURED TAGS
-web -学习笔记 -xss -MISC -杂项 -sql注入 -PHP -ctf -命令执行 -ssti -wp -java
ABOUT ME

我愿为你收起翅膀,拔剑而战

✉️ 1293863008@qq.com

FRIENDS