Tree's Blog

hitcon_2017_ssrfme <?php $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); @mkdir($sandbox); @chdir($sandbox); $data = shell_exec("GET " . escapeshellarg($_GET["url"])); $info = pathinfo($_GET["filename"]); $dir = str_replace(".", "", basename($info["dirname"])); @mkdir($dir); @chdir($dir); @file_put_contents(basename($info["basename" ...

网络迷踪题目从图中信息找到该麦当劳门店所在位置： 图中获取到的信息 这是小票上的信息erbang alaf restaurants，Tesco pe…，jalan SS21/39 麦当劳 McDonald’s 搜索引擎搜索 erbang alaf restaurants 2.搜索gerbang alaf restaurants address ，发现是一家名为Gerbang Alaf Restaurant Sdn Bhd的店，地点锁定在马来西亚 翻译一下: Level 6, Bangunan TH, Damansara Uptown 3. No 3, Jalan SS21/39, 47400 Petaling Jaya.得到其详细地址 然后用谷歌地图定位应该就可以了 这是网上找到的答案 ​

等保2.0等保1.0回顾在开始讲等保2.0之前，让我们先回顾一下等保1.0。等保1.0发布距今已经有10多年的时间，在这些日子里，网络安全也越来越被人们所重视。 在1.0的初期，企业只要有安全意识，能开始做等保，开始测评就已经很不错了；到了中期，整体防护，渗透测试，合规开始等于安全。行业等级保护全面开展，等保开始逐渐的深入人心；再到1.0的后期，无论是企业层面还是国家层面，都更注重实质性的安全。主动防御、态势感知、攻防对抗等安全手段开始流行，云安、大数据、工控安全和移动安全开始占领主要趋势。 等保1.0普及了等保概念，强化了安全意识，从单个系统到部门、到行业，再到上升到国家层面从合规到攻防对抗，整体提升了网络安全保障能力技术并且不断进行人才的积累，这些都对等保2.0提供了有力的支撑。 等保2.0是什么？等保2.0全称网络安全等级保护2.0制度，是我国网络安全领域的基本国策、基本制度。等级保护标准在1.0时代标准的基础上，注重主动防御，从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联网和工业控制信息系统 ...

s q l 注入的小总结原理：​ 就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。 s q l注入攻击一般流程：1.判断注入点：​ 判断一个链接是否存在注入漏洞，可以通过对其传入的参数（但不仅仅只限于参数，还有cookie注 入，HTTP头注入等） 进行构造，然后对服务器返回的内容进行判断来查看是否存在注入点。 2.判断注入点类型 按照参数类型分类： ​ (1)数字型注入： 如id=1 ，传入的参数是数字，注入时该参数不需要用单或双引号构造闭合。 ​ (2)字符型注入：如username=admin ,传入的参数是字符或字符串，注入时要注意去构造闭合。 按照数据请求方式分类: ​ (1)GET注入 ​ (2)POST注入 ​ (3)HTTP请求头注入 按照语句执 ...