南溟NaN

摸了。

本周任务，学习木马的执行函数。

根据查找到的资料，执行函数分为两类，代码执行函数和命令执行函数。

前言

XSS全称为跨站脚本攻击【Cross Site Scripting，为不与层叠样式表【Cascading Style Sheets, CSS缩写混淆，故此名为XSS。

XSS恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。

前言

本周任务是File Inclusion【文件包含。

文件包含漏洞简单来说就是在使用函数包含文件时，没有对传入的文件名进行有效的过滤，从而被利用包含了其他文件进来，导致服务器上文件信息的泄露甚至会被注入恶意代码。

文件包含分为LFI【本地文件包含与RFI【远程文件包含，字面意思，其中RFI需要PHP_ini开启url_allow_fopen和url_allow_include。

运行环境

操作系统：Windows、Linux

php版本：推荐5.2.17【其他版本可能会导致部分Pass无法突破。

php组件：php_gd2、php_exif【部分Pass需要开启这两个组件。

apache：以moudel方式连接

Web安全修炼第一周。

原理

SQL注入起因于数据和代码的界限分割不明确。

MOCTF欢乐新春赛。

本地编辑文档然后通过 Github 同步到服务器的方式。