一次精彩艰难的渗透,一个交友网站

一次精彩艰难的渗透,一个交友网站
作者:白色小黑 来源:https://www.t00ls.net/thread-38768-1-1.html 本信息不完整,想看完整信息请去土司论坛。   昨晚上朋友发来一个站说存在解析漏洞,由于当时我在手机登录又是凌晨12点准备睡觉了(虽然说白帽子都是不休息的.... ),所以没去在意!今天上午又再次看到此条QQ记录点开看了一下这个站点,觉得有点意思!因为有个云锁,你们都明白的(过各种waf是很刺...

yii2用表单上传文件的方法(多文件上传方法)

yii2用表单上传文件的方法(多文件上传方法)
1、单个文件上传 首先建立一个模型models/UploadForm.php,内容如下 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 namespace app\models;   use yii\base\Model; use yii\web\UploadedFile;   /** * UploadForm is the model behind the upload form. */ class UploadForm extends Model { /** * @var UploadedFile file ...

yii2.0 GridView常见操作

yii2.0 GridView常见操作
收集了网络上GridView出现的大部分问题做一个总结,希望有一个能帮助到你。 如果下面有没说到的GridView常见问题,下方留言,我会进行补充。 下拉搜索 日期格式化并实现日期可搜索 根据参数进行是否显示 链接可点击跳转 显示图片 html渲染 自定义按钮 设定宽度等样式 自定义字段 自定义行样式 增加按钮调用js操作 实现批量删除案例 批量删除 禁止排序 table加表头 字段内容...

Yii2.0 rules验证规则大全

Yii2.0 rules验证规则大全
required : 必须值验证属性 [['字段名'],required,'requiredValue'=>'必填值','message'=>'提示信息']; #说明:CRequiredValidator 的别名, 确保了特性不为空. email : 邮箱验证 ['email', 'email']; #说明:CEmailValidator的别名,确保了特性的值是一个有效的电邮地址. match : 正则验证 [['字段名'],'match','pattern'=>'正则表达式','message'=>'提示信息']; [...

京东驳回的一枚轻易paylod而不易exploit的xss的开发过程

京东驳回的一枚轻易paylod而不易exploit的xss的开发过程
朋友丢给了我一个反射xss让我来尝试getexploit,xss被京东以不能跨站,没有危害的理由忽略了该漏洞,好熟悉的理由。今年中的时候,丢了一个xss到京东,由于长度问题被拒绝了,不过还是解决了,话不多说,我们看一下这一处xss。 弹窗XSS 输入alert语句直接被执行了,看一下代码 window.siteId=1; window.circleid=3; window.threadId=alert(1); 牛刀小试,既然这么简单,直接...

密码保护:防SQL注入 防XSS PHP安全类文件 Security.php 修复版

密码保护:防SQL注入 防XSS  PHP安全类文件 Security.php 修复版
今天修复了一个PHP的安全类文件,也不算是修复吧。主要的功能是防止SQL注入的产生,还有防止XSS。直接在最初就给过滤了这些。 文件出处不能说,秘密。。。嘎嘎,就保密一下了 首先说一下引用方式在核心文件最初处添加如下代码: 1 2 3 4 5 //防止xss攻击 防SQL注入 require_once dirname(__FILE__).'/protected/components/Security.php'; Security::headerCLeaner...

密码保护:Burpsuite unicode 中文汉字 burp 请求unicode转中文插件

密码保护:Burpsuite unicode 中文汉字 burp 请求unicode转中文插件
Burpsuite unicode 中文汉字 burp 请求unicode转中文插件 这个是修复版本,本人修复了正则问题,嘿嘿,是不是有点臭不要脸了呢。好吧。 不说首先还是要先装jython的,装完之后再可以用这个插件。这样就算有再乱的 \u9014\u725b\u6e38\u8bb0\u541b\u67099\u4eba\u56de\u590d\u4e86\u4f60\u7684\u8bc4\u8bba\uff0c... jython下载地址:http://www.jython.org/downloads.html ...

PHP反向代理类

PHP反向代理类
改自PHP Reverse Proxy PRP,修改了原版中的一些错误,支持了文件上传以及上传文件类型识别,支持指定IP,自适应SAE环境。 2016年6月17日 修正了SAE跳转的BUG。 使用方法: 1 2 3 4 5 6 7 8 9 <?php $proxy=new PhpReverseProxy(); $proxy->port="8080"; $proxy->host="www.xiumu.org"; //$proxy->cookie="xxxxxxxxxxx"...

利用斯拉夫字母辅助社会工程学攻击思路

利用斯拉夫字母辅助社会工程学攻击思路
【注意:本文及本栏目下的文章都是转载】 文章原地址:https://www.t00ls.net/thread-36454-1-2.html 作者:aircrk   这个思路是很早以前在暗组看到的,当时把暗组社会工程学版块的所有帖子都翻了一遍,发现很多都是没什么营养的,但有一篇让我脑洞大开,于是果断保存了下来。 这里用到的是一种特殊字母,叫斯拉夫字母 (也叫西里尔字母),点此查看百度百科。 斯拉夫...