目录 1.CRLF注入漏洞 2.目录穿越漏洞 参考链接 1.CRLF注入漏洞 CRLF是"回车+换行"(\r\n)的简称,其十六进制编码分别为0x0d和0x0a.先看payload,因为%0a%0d的存在导致换行. 在HTTP协议中,HTTP header与HTTP Body就是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP内容并显示出来.所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码.CRLF漏…

点击返回自学Linux集锦 linux异常处理:selinux配置错误导致无法重启 一次linux无法重启异常记录: 当时第一反应就是梳理最近的配置变更,特别是能预知相关的就是selinux配置变更. 原来是误将SELINUXTYPE看成SELINUX后,将其值改为disabled.导致操作系统服务启动,无法进入单用户模式.变更回来之后,一切正常. 解决方法一: 系统启动的时候,按下‘e’键进入grub编辑界面,编辑grub菜单,使用上下键选择“kernel ” 一行,按‘e’键进入编辑,在末尾…

fstab中配置错误导致系统无法启动的恢复方案 1制造错误的案例发生,在/etc/fstab中配置如下内容 结尾的倒数第一个为1表示进行磁盘检查,为0表示不进行磁盘检查,倒数第二个为0表示不备份,为1表示进行备份,一般除了/boot 和 / 使用磁盘检查,其余的都不使用磁盘检查.备份自己去备份,没必要让系统去帮你备份. 重启服务器主机,在启动过程中就会报错 2处理错误 上面的错误提示我们给出root密码或者使用Ctrl+D继续,但是Ctrl+D还是会重启,所以我们给出root密码进行处理. 给出…

遇到了两个由于php.ini配置错误导致的报错:ajax图片上传报错和exec报错 首先第一个: 在做一个用ajax图片上传的功能中,php报了这样一个错误:File upload error - unable to create a temporary file; 然后百度了下,发现是由于php.ini配置文件的upload_tmp_dir的配置没有处理好. 于是百度下了这个:供参考下 1.因为php.ini中没有设置上传的临时文件,默认为系统的临时文件地址. 2.如果没有权限去读系统的临时文…

今天做百度杯的时候发现一个题很有意思. 点进题目,发现了一个js重定向到login.php,抓包发现请求的header中cookie=0,做过这种类似的题目,o==false,在请求头里面将cookie=1,结果就进去了后台,(login.php中没有发现什么信息),进入后台, 点开Manage,如上图,网址的构造是module=index$name=php 推测是文件包含,我将index改成flag,说明flag在flag.php中我们所要做的就是提取出flag.php中的内容 思路1 用ph…

有时候页面会遇到404页面找不到错误,或者是500.502这种服务端错误,这时候我们可能希望自己定制返回页面,不希望看到默认的或者是内部的错误页面,可以通过nginx配置来实现. 1 50x错误对于50x错误,通常不会直接将错误内容显示在页面,而是由前台页面来解析错误内容并展示在前台的某个位置.我们可以自己定义一个json返回对象,由页面来解析这个json对象.以500错误为例,在nginx服务器任意目录下(例如,/usr/share/nginx/html)创建一个500.json文件,内容如下…

如果因为/etc/sysconfig/network-scripts/下的ifcfg-eth0(此处以eth0网卡名为例),其中的HWADDR配置错误,不知道到哪里找到原来的HWADDR时,可以尝试一下两种方式: 1.执行ifconfig -a(如果执行不了,可以执行ip a命令,centos7系统默认就自带这个命令),查看MAC地址,并修改原来配置: 2.找到/etc/udev/rules.d/70-persistent-ipoib.rules文件并查看,如果里面有eth0的记录则按照其进行配…

题目:http://98fe42cede6c4f1c9ec3f55c0f542d06b680d580b5bf41d4.game.ichunqiu.com/login.php 题目内容: 网站要上线了,还没测试呢,怎么办? 经过测试在点击Mini-Zone的时候会有如下数据包. GET /index.php HTTP/1.1Host: 98fe42cede6c4f1c9ec3f55c0f542d06b680d580b5bf41d4.game.ichunqiu.comUpgrade-Insecure…

实验环境:       操作系统  : Red Hat Enterprise Linux Server release 5.7 (Tikanga)       数据库版本: Oracle Database 12c Release 12.1.0.1.0 - 64bit Production 前两天在服务器上安装了ORACLE 12c后,从客户端连接到数据库的时候,出现ORA-12170错误,由于以前在博客的ORA-12170:TNS:连接超时总结过这个问题,所以很快定位到是防火墙问题,于是编辑ip…

以下基于tomcat服务器 我们通常将域名映射到指定服务器的端口上,以通过域名直接访问服务,如http://www.abc.com域名已绑定到本机的80端口,项目名wechat,则直接访问http://www.abc.com和访问http://localhost:80/wechat的效果是一样的,面向用户的话非常推荐前者,因为用户通常不关注你的端口和项目名称这些东西,况且他们也不知道.这种配置只需要在tomcat的配置文件server.xml中的<Host>标签中加一项配置<Contex…