「 PYTHON 」 三月 01, 2021
文章字数 19k 阅读约需 17 mins. 阅读次数 1000000
最简单的Flask小程序就是hello world了,下面用flask写一个hello world:
from flask import Flask
app = Flask(__name__)
@app...
「 PYTHON 」 二月 03, 2021
文章字数 11k 阅读约需 10 mins. 阅读次数 1000000
以下内容主要是基于Python3的,Python2环境下序列化的用法和以下类似,但是序列化生成的结果与Python3环境下是不同的。Python
2的pickle内容从实例三开始。
Python标准库,只支持python的基本数据类型。
可以处理复杂的序列化语法,序列化时,只是序列化整个序列对象,而非内存地址。
pickle模块实现了基本的数据序列化和反序列化。通过pickle模块的序列化操作我们能够将程序中运行的对象信息保存到文件中去,永久存储;通过pickle模块的反序列化操作,我们...
查看全文「 CTF 」 二月 01, 2021
文章字数 8.7k 阅读约需 8 mins. 阅读次数 1000000
考点:SSI注入
直接简单试一试,都是failed,所以使用dirsearch去进行目录扫描,得到一个index.php.swp获取源码。
<?php
ob_start();
//加密hash,原文位唯一ID+随机字符(xxxxx)
function get_hash(){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
$random...「 CTF 」 一月 29, 2021
文章字数 17k 阅读约需 16 mins. 阅读次数 1000000
考点:PHP伪协议
这题上来就是一个选择,选择的内容是在url处category参数处,输入一个单引号,引发php报错。由此可以知道url传入的参数会先与”.php”进行拼接,然后使用include()来包含。
这里想要直接输入flag和index都是不行的。但是php伪协议是可以使用的,所以利用php://来读取源码。
<?php
$file = $_GET['category'];
if(isset($file))
{
if( strpos( $file, ...「 DOCKER 」 一月 21, 2021
文章字数 6.7k 阅读约需 6 mins. 阅读次数 1000000
Docker是一个虚拟环境容器,可以将你的开发环境、代码、配置文件等一并打包到这个容器中,并发布和应用到任意平台中。比如,你在本地用Python开发网站后台,开发测试完成后,就可以将Python3及其依赖包、Flask及其各种插件、Mysql、Nginx等打包到一个容器中,然后部署到任意你想部署到的环境。
镜像(Image):类似于虚拟机中的镜像,是一个包含有文件系统的面向Docker引擎的只读模板。任何应用程序运行都需要环境,而镜像就是用来提供这种运行环境的。例如一个Ubuntu镜像就是一个...
「 网络安全 」 一月 18, 2021
文章字数 16k 阅读约需 14 mins. 阅读次数 1000000
考试结束,继续学习。
3个要点:对当前机器角色的判断、对当前机器所处环境的拓扑进行分析和判断、对当前机器所处区域的判断。
角色例如:Web服务器、开发测试服务器、代理服务器、DNS服务器、文件服务器等。
拓扑:大致的内网拓扑结构图。
区域例如:DMZ、办公区、核心区等。
通过收集信息来给机器画像。
本机信息包括操作系统、权限、内网IP地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等。如果是域内主机很多东西都是批量安装的。
通过一台主机的信息来举一反三推测规律。
「 PYTHON 」 一月 04, 2021
文章字数 1.5k 阅读约需 1 mins. 阅读次数 1000000
Web Application Framework(Web应用程序框架)或简单的Web Framework(Web框架)表示一个库和模块的集合,使Web应用程序开发人员能够编写应用程序,而不必担心协议,线程管理等低级细节。
Flask是一个用Python编写的Web应用程序框架。 它由 Armin Ronacher 开发,他领导一个名为Pocco的国际Python爱好者团队。 Flask基于Werkzeug WSGI工具包和Jinja2模板引擎...
查看全文「 网络安全 」 一月 03, 2021
文章字数 8.4k 阅读约需 8 mins. 阅读次数 1000000
最近在看《内网安全攻防》,做个小笔记,已备查看。
内网也指局域网(Local Area Network,LAN)是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的历程安排、电子邮件和传真通信服务等功能。可以大可以小,具体看这个组织的大小了。当然在这种局域网的概念中又可以分为安全等级更高的内网、DMZ区(隔离区)、和外网。我个人认为内网可能有广义和狭义的两种,广义上可以理解为是局域网,狭义上可能是更加细分的局域网中的不对...
查看全文「 LINUX学习 」 十二月 26, 2020
文章字数 7.2k 阅读约需 7 mins. 阅读次数 1000000
Linux远程管理中经常使用的SSH,也就是对应的sshd服务。
SSH(Secure Shell)是一种能够以安全的方式提供远程登录的协议,也是目前远程管理Linux系统的首选方式。在此之前,一般使用FTP或Telnet来进行远程登录。但是因为它们以明文的形式在网络中传输账户密码和数据信息,因此很不安全,很容易受到黑客发起的中间人攻击,这轻则篡改传输的数据信息,重则直接抓取服务器的账户密码。
想要使用SSH协议来远程管理Linux系统,则需要部署配置sshd服务程序。sshd是基于SSH协议开...
查看全文