web11234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465...

什么是ARPARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。 在局域网环境中，数据的传输所依懒的是MAC地址而非IP地址，而将已知IP地址转换为MAC地址的工作是由ARP协议来完成的。 工作流程 局域网内...

SSTI 漏洞概述SSTI（Server-Side Template Injection，服务器端模板注入），主要发生在 Web 应用使用模板引擎动态渲染页面内容的场景中。当应用程序未对用户输入的内容进行严格过滤或转义，直接将用户可控数据嵌入到模板中...

什么是XXEXXE（XML External Entity Injection）XML 外部实体注入的缩写。解析时未对XML外部实体加以限制，导致攻击者将恶意代码注入到XML中，导致服务器加载恶意的外部实体引发文件读取，SSRF，命令执行等危害操作。...

sqlmap的使用123456789101112131415161718192021222324判断是否有注入点sqlmap.py -u http://example.com/?id=1查询当前用户下的所有数据库sqlmap.py -u ht...

原型链JavaScript 原型链是实现继承的一种方式，每个对象都有一个内部属性 [[Prototype]]（在代码中可通过 __proto__ 访问），它指向该对象的原型对象。当访问一个对象的属性或方法时，JavaScript 首先会在该对象本身查...

原理先来张图 SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。 一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统） 协议filefile:&#x...

本地管理员 源码中有个base64的注释 test123，试试账号admin密码test123 ip不能访问，添加X-Forwarded-For:127.0.0.1，获得flag X-Forwarded-For 用于标识客户端（例如浏览器...

闪的好快 打开后是一个不断变换的git动图，高度好像也缺了 对git图片进行分解 写个脚本，对二维码进行逐帧扫描，最后合并 1234567891011121314151617181920212223import imageiofrom PIL i...

webnest_js bp进行爆破，得到账号admin,密码password 星愿信箱魔板注入 看有哪些函数 通过 config对象调用 os.popen执行 ls / 发现有flag,cat别屏蔽了，head /flag查看 多重宇宙日...