XXE二三事

in Web,安全研究,PHP read (8888)

什么是XXEXXE是XML外部实体注入,详细介绍可以参考OWASP的介绍,https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing为何一直实验不成功之前我一直在自己的ubuntu14.04+ln...

继续阅读

好久没有写东西,这篇文章也是第一次投给乌云,赚了点外快,乌云那边已经发出来了,贴到自己博客里吧。0x00 前言最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。未知攻,焉知防...

继续阅读

通过zip/phar协议包含文件

in 安全研究,PHP read (22741)

以前的CTF中见过这种很神奇的协议,上周墙网杯又见到了,再总结一下,在实际中的应用也是比较多的,算是一个比较实用的技巧。假设有类似以下的PHP代码段。<?php $file = $_GET['file']; include($file.".jpg...

继续阅读

需要php5.3以上的支持。基本原理还是使用open_basedir来处理,只不过如果加到php.ini中,那只能限制到wwwroot目录下,并不能防止跨站,这个时候需要在nginx的配置文件中修改,在每个server中都加上fastcgi_param PHP_VALUE ...

继续阅读
  • 第1 页/共1页

lightless

弱小和无知不是生存障碍,傲慢才是。