top10

18 篇文章

RCE 代码 & 命令执行 & 过滤绕过 & 异或无字符 & 无回显方案 & 黑白盒挖掘概览 ➢ RCE — 利用 / 绕过 / 异或 / 回显 ➢ 白盒 — CTF / RCE 代码命令执行 ➢ 黑盒 — 运行 / RCE 代码命令执行定义 RCE 代码执行：引用脚本代码并解析执行。 RCE

2026-01-08 Web安全 7 Administrator

LD_PRELOAD 绕过一、原理示例脚本（PHP）： <?php mail('','',''); ?> 查看执行动作（演示思路

2026-01-08 Web安全 7 Administrator

sqlmap 使用速查与进阶技巧本文分为：基础枚举 / 权限与文件 / 命令交互与 Shell / 请求写法（POST/JSON/HEAD/Cookie/文件上传）/ 绕过与 Tamper / 代理与调试 / 带外（DNSLOG）/ 常见示例。一、基础枚举（快速命令）目标：确认注入、列出库表列

2026-01-08 Web安全 10 Administrator

概述本篇笔记说明 PHP 与 MySQL 交互中常见的数据请求类型、导致注入成功/失败的原因、常见的请求来源（全局变量）及利用场景，并给出绕过与防护的建议。适用于黑盒测试时对不同请求格式的分析与构造。一、为什么“看似有注入但无法成功”？黑盒测试无法直接看到原始 SQL 语句，注入成功依赖于对原

2026-01-08 Web安全 4 Administrator

一、增删改查（CRUD）基础示例下面示例展示常见的 SQL 操作（以 news 表为例），理解这些语句有助于构造注入 payload：查询（Read） SELECT * FROM news WHERE id = $id; 新增（Create） INSERT INTO news (title,

2026-01-08 Web安全 4 Administrator

一、目标与概述目的：通过 SQL 注入（以 MySQL 为例）获取 Web 应用可操作的数据或权限（例如：查询数据库名称、表名、字段、读写文件、横向跨库取证等）。本笔记覆盖：常见检测与信息收集（系统、用户、数据库名、版本）基于 information_schema 的枚举方法跨库查询与文件

2026-01-08 Web安全 4 Administrator

概览 CSRF（跨站请求伪造）的检测、常见绕过手法与防御实践。一、CSRF核心概念 CSRF：攻击者在受害者已登录的情况下，诱导其浏览器向目标站点发送已认证的请求，从而实现未授权操作。常见影响包括修改账户信息、发起转账、改变密码、发帖等。攻击前提通常要求受害者已登录目标站点并保持有效会话；防护

2026-01-08 Web安全 7 Administrator

概要本文总结了我做ctfshow有关文件上传的漏洞题目,以及文件上传构造数据包的pyload ctf.show — web151 ~ web160 条目整理（要点摘录）下面每一项对应你给的编号（web151…web160），按“题目要点 / 绕过手法 / 常见 payload”格式列出，方便快速

2026-01-08 Web安全 50 Administrator

文件安全：下载与删除 - 黑白盒分析 1. 文件下载 = 读取常见下载 URL：http://www.xiaodi8.com/upload/123.pdf 可能存在安全 URL：http://www.xiaodi8.com/xx.

2026-01-08 Web安全 5 Administrator

文件包含-原理、分类、利用与修复 1. 文件包含原理文件包含是程序开发中的一种常见技术，通常用于复用代码。开发人员会将可复用的函数或代码模块写入一个单独的文件，其他文件可以直接调用该文件，而不必重复编写。常见的 PHP

2026-01-08 Web安全 6 Administrator