0x01 Http Header里的Content-Type

Http Header里的Content-Type一般有这三种:

• application/x-www-form-urlencoded：数据被编码为名称/值对。这是标准的编码格式。
• multipart/form-data： 数据被编码为一条消息，页上的每个控件对应消息中的一个部分。
• text/plain： 数据以纯文本形式(text/json/xml/html)

打CTF的时候多次遇到PHP伪协议题,这里做个深究.

php伪协议，事实上是其支持的协议与封装协议

支持的伪协议有下面这么多

参考:《白帽子讲web安全》

实战平台:DVWA平台(DVWA平台安装具体自己百度)

文件包含漏洞

文件包含漏洞是”代码注入”的一种。”代码注入”这种攻击，其原理就是注入一段用户能控制的脚本或代码，并让服务端执行。”代码注入”的典型代表就是文件包含(File Inclusion)。文件包含可能会出现在JSP,PHP,ASP等语言中。

在PHP中主要有四个函数:

一个挺不错的链接:https://www.cnblogs.com/Mrsm1th/p/6835592.html

0x01 原理

序列化与反序列化简介

序列化:把复杂的数据类型压缩到一个字符串中 数据类型可以是数组，字符串，对象等 函数 : serialize()

参考链接:https://blog.spoock.com/2016/10/16/php-serialize-problem/

0x01 原理

php.ini中有个配置项如下:

1

session.serialize_handler   string --定义用来序列化/反序列化的处理器名字。默认使用php

hexo的相关配置

临时体验hexo

在命令行输入

hexo g

前言

一个挺不错的ctf平台:https://www.jarvisoj.com/

Jarivs Oj Web

0X01 PORT51

参考链接:http://www.freebuf.com/articles/web/120747.html

1

这里首先你最好懂一些mysql查询语句，便于理解

SQL Injection

web签到题一 77777 1

由于题目已经关闭了，这里用其他大佬的图片.

今天刷题的时候看到了mysql的一条语句为: (涨新姿势了)

1

select * from `admin` where password='".md5($pass,true)."'"

百度后才知道是一种md5加密的sql注入