Patrilic's blog

Patrilic's blog

NEVER SETTLE

hexo+github搭建博客
这两天博客出了点问题,重新搭了一个,虽然网上有很多很全的教程,但还是自己总结一下,把今天遇到的问题来说一下 先讲讲怎么搭建一个hexo+github的博客 步骤1.先装好Git环境和Git,在桌面上点击右键可以看到 2.安装Node.js ,在官网即可下载,LTS为通用版 ,Current为最新版 $ node -v 可以检验是否成功安装 3.在Github上创建账户和新建项目,项目格式为:username.github.io 下拉勾选Initialize this repository with a README 4.安装Hexo(请按以下步骤) 建议在D盘创建名称为{user...
SQL注入(MySQL)
0x00 前言最近看了《SQL注入攻击与防御》这本书,学到了一些新的姿势,在这里总结一下。 0x01 常用思路数据回显注入1.显示字段数order by 确定字段数 order by是第n行按照顺序排列 如果order by 6 返回错误,order by 5 返回正常,意味着查询包含5列 2.确定显示位select 1,2,3,4,5,n# 显示回显位置 或者用 select @,@,@#select NULL,NULL,NULL#后面两种语句可以保证不会因为数据类型不匹配而失败 语句基本上是union联合查询。而union操作符的正常工作需满足两个条件: a.两个查询返回的列数必须...
Xss
关于近期xss学习的一些总结近来学习了乌云心伤的瘦子的腾讯xss教程,做一个小小的总结。在secpulse上有搬运资料网址:XSS中的宽字节编码问题:http://www.rootat.net/2015/10/09/WideByteXSS/DOM型XSS经典场景及修复:https://security.tencent.com/index.php/blog/msg/107DOM-based XSS扫描工具:http://www.freebuf.com/sectool/5804.htmldata协议:http://www.jb51.net/css/41981.html腾讯大牛的文章:http...
一个有趣的(假)SQL题?
一个有趣的伪代码题最近沉迷渗透测试,每次搞到一半就卡住,很是头疼,下午听着音乐打算做几个ctf题玩玩,然后就发现了这个有趣的题。 题目地址:http://ctf5.shiyanbar.com/web/5/index.php 题目本身不是很难,但是我觉得很有意义。 下面来分析一下既然是程序逻辑问题,不多说 ctrl+U 看看源码 发现了 index.txt123456789101112131415161718192021222324252627282930313233343536373839404142434445<head>welcome to simplexue<...
【转载】php:filter的妙用
原文来源:https://www.leavesongs.com/PENETRATION/php-filter-magic.html php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”,本文说几个有意思的点,剩下的大家自己下去体会。本来本文的思路我上半年就准备拿来做XDCTF2016的题目的,没想到被三个白帽的一题抢先用了,我也就只好提前分享一下。 XXE中的使用php://filter之前最常出镜的地方是XXE。由于XXE漏洞的特殊性,我们在读取HTML、PHP等文件时可能会抛出此类错误parser error : StartTag: invalid elem...
Hello world
花了快一个小时终于搭建好了真正意义上自己的一个博客,还是有点小小兴奋,在大学已经过了快一个学期,自己也学到了一些以前从来没想到过的东西, 这个寒假,就像原来一样,好好的写写任务,把这学期学的总结一下吧, 跟着小组里和网上的师傅好好学技术,希望今后也能顺利。
Patrilic
Be Stronger