【正则 & PCRE】详解PCRE正则匹配的引擎、回溯、贪婪问题 注 本文首发于安全客 首发链接:https://www.anquanke.com/post/id/253053 前言:本篇文章字数较多,并且有大量篇幅讲解正则匹配的过程,如果有疏忽(字母标错),请多多海涵~ 本文重点研究PCRE的正则匹配,并且使用PHP代码进行相关阐述。 正则匹配的两种引擎:对于人来说,想要比较一个字符串是否满足某一个条件,通常是对字符串和条件反复比较,这其中并没有一定的规 2022-01-21 web
【代码审计 & SQL注入】如何审计一个冷门的cms? 注 本文首发于合天网安实验室 首发链接:https://mp.weixin.qq.com/s/4HbJunSix_NF278_hWJI1g 前言刚开始代码审计多多少少会有种无从下手的感觉,想要通过自己的代码审计能力直接审计出漏洞未免有些困难。但是如果直接拿到一个cms开始审,刚开始可能富有激情,可是越审到后面就会越怀疑自己,然后放弃代码审计。造成这样的现象的原因便是:不知道自己到底能不能审到 2022-01-21 代码审计
【代码审计 & SQL注入篇】梦想cms代码审计 前言这是梦想cms代码审计的第一篇,第一次对完整的cms进行审计,有很多不足的地方,而且都是一些比较简单的SQL注入漏洞,借此机会学习一下PHP的MVC架构。 环境调试环境:MAMP PRO + Sublime Text + Apache + PHP5.4.45 CNVD中已提交的漏洞 后台SQL注入BookAction.class.php在c/class/db.class.php中第9 2022-01-17 代码审计
【XML-DTD & XXE】XML-DTD学习以及CTFshow XXE系列题目题解 前言 “懂进攻,知防守,先正向,后逆向” 为了学习XXE,那就得学习XML,毕竟要先学会基础语法,才能挖掘出在开发中可能存在的安全问题。 什么是XML? XML是一种标记语言 XML是一种标记语言,类似于HTML,XML的作用是传输数据。 XML的标签可以自由定义,不需要像HTML那样使用预先定义好的标签。 XML不会做任何事情 DTD基础1234567891011121314& 2022-01-15 web
【XSS】XSS-Lab通关教程 XSS-Lab地址:https://github.com/rebo-rn/xss-lab XSS-LabLevel1第一个没有过滤,直接XSS即可 1<script>alert(1)</script> 分析本题直接将用户GET传入的name进行拼接,并且没有过滤,用echo和h2标签打印输出在页面上 题目源码123456789101112131415161718192 2022-01-12 web
【php-fpm & fastcgi】未授权访问漏洞 前言 这是p牛在2017年的trick,距离现在已经快过去5年了,对其原理稍作总结,并复现vulfocus上的相关环境。 PS:前几个月一直在想办法投稿文章恰烂钱,现在寒假开始了,发现自己需要补的漏洞越来越大了,正常情况下,这篇文章如果投稿给合天应该也是能通过恰点烂钱,不过还是算了,补基础补基础,还是补基础。否则,如果某篇投稿文章出现了很严重的知识错误,以后估计也就不用混了hh。 什么是fa 2022-01-10 web
【算法学习】Trie算法 【Trie树】模板题题目地址:835. Trie字符串统计 - AcWing题库 Trie字符串统计维护一个字符串集合,支持两种操作: I x 向集合中插入一个字符串 xx; Q x 询问一个字符串在集合中出现了多少次。 共有 NN 个操作,输入的字符串总长度不超过 10^5,字符串仅包含小写英文字母。 输入格式第一行包含整数 NN,表示操作数。 接下来 NN 行,每行包含一个操作指令,指 2022-01-09 ACM
【Java】一篇文章弄懂封装、继承、多态、抽象、接口、内部类 前言 学习了一段时间的安全,开始意识到自己的Java基础薄弱,因此开始恶补Java,为以后学习shiro、springboot等等框架打好基础。 这篇文章就记录一下学习Java封装、继承、多态、抽象、接口、内部类、异常,如有纰漏,那就是因为我菜。 封装封装介绍封装的目的:防止该类的代码和数据被外部类定义的代码随机访问。 封装的优点: 良好的封装能够减少耦合。 类内部的结构可以自由修改。 2022-01-08 Java
【C/C++】M1 Arm64 MacBook Pro VScode配置C/C++ 配置环境机器:MacBook Pro 2021 M1pro 架构:Arm64 软件:vscode 插件:C/C++ 安装clang一般Mac是自带的 这个用Mac的homebrew一键安装即可 用下方命令检查即可: 1clang --version launch.json1234567891011121314151617{ // Use IntelliSense to lear 2022-01-03 Other
【神奇的Unicode编码】这个符号竟然可以从右往左打印字符串 注 本文首发于合天网安实验室 首发链接:https://mp.weixin.qq.com/s/lo2AiEloACLtCn2Ncle33A 前言最近,Err0r师傅把他们新生赛的赛题源码甩给我,我直接点开ezphp,发现这题很巧妙,题目源码不长,并且很有意思!这里面涉及到的知识点在之前也是比较少接触到的。因此,这篇文章将会对这道题从解题再到原理剖析逐步深入。 解题尝试首先,题目源码在网页中打 2021-12-07 web