张士玉小黑屋

一、PHP代码注入代码注入（执行）是指应用程序过滤不严，用户可以通过请求将代码注入到应用中执行。类似于SQL注入，不同的是，SQL注入到数据库执行，而代码执行将注入到应用中最终由服务器运行它。相当于直接有一个web后门的存在。常见的是远程代码执行，简称RCE。原因：1.程序中含有可以执行php代码的函数或者语言结构。2.传入第一点中的参数，客户端可控，直接修改或者影响。危害：可以继承web用户权限，执行任意代码。读写目标服务器任意文件，控制整

今天要介绍的工具是MLflow，该工具可分为4个模块，第一个是MLflowTracking，用于记录和查询实验结果，包含代码、数据、配置等，第二个是MLflowProjects，用于打包代码以实现在任意平台上的重复运行，第三个是MLflowModels，用于在各种各样的环境下部署机器学习模型，第四个是ModelRegistry，用于存储、标记、探索、管理模型。

文章目录利用点源码过程分析RubyFile.open()命令执行完利用点RubyFile.open()命令执行源码环境的源码通过app.rb给出require'sinatra'require'digest'require'base64'get'/'doopen("./view/index.html",'r').read()endget'/u

BurpIntruder作为BurpSuite中一款功能极其强大的自动化测试工具，通常被系统安全渗透测试人员被使用在各种任务测试的场景中。在渗透测试过程中，我们经常使用BurpIntruder，它的工作原理是：Intruder在原始请求数据的基础上，通过修改各种请求参数，以获取不同的请求应答。每一次请求中，Intruder通常会携带一个或多个有效攻击载荷（Payload),在不同的位置进行攻击重放，通过应答数据的比对分析来获得需要的特征数据。BurpIntruder支持使用Payload进行多种方式的模拟攻击&

这几天碰到一个事情，有必要记录一下。在一个项目中，压力测试工具中一个业务响应时间变长，数据库（Oracle）CPU使用率99%以上。从AWR报告上看到如下信息：在性能项目的沟通中，经常是在这样的时候，我们就去告诉开发说现在的状态是CPU使用率高，把AWR报告往开发那里一发，性能团队的人员就喝咖啡去了。但是性能如果只是做到这里，沟通其实

0x01前言某日朋友丢了一条shell叫我提权，我拿到shell看了一下，菜刀蚁剑都无法执行命令。Getshell的漏洞分析在:https://getpass.cn/2019/09/06/An-APP-distribution-system-upload-vulnerability/ 214然后搞了好久熬了一个晚上才弄好，中间走了很多弯路。。。2021最新整理网络安全\渗透测试/安全学习（全套视频、大厂面经、精品手

近几年里，java安全威胁性较高的就是反序列化漏洞了，原因在于反序列化漏洞通常会利用Runtime类来实现RCE命令执行从而控制目标服务器，但有时候我们会发现在某些情况下，Runtime类并不能执行一些较为复杂的命令，或者说无法获得我们想要的预期结果。例如我们在linux系统下执行该命令是没问题，可以执行成功但是通过java本地命令执行的Runtime类的exec方法来执行该命令无法获得我们预期的结果我们换一种方式，不执行这么复杂的命令，Runtime类可以成功执行命令并回显 通过这两种情况的对比

    之前网上有只要扫码一下就可以每天领上百京豆和一些红包的活动，后来呢，扫码就失效了，但是呢，这背后的技术还没有失效。这白嫖活动其实就是用脚本代替我们去参与京东的各种活动，去获取红包和京豆，而这些脚本是部署在电脑上，定时去执行的，接下来，根据网上的大佬的教程，我们也来实现一下。一、安装前的准备    青龙面板是使用Docker来安装的，理论上&

定时器----setTimeout() clearTimeout()在指定的毫秒数到达之后执行指定的函数，只执行一次//创建一个定时器，1000毫秒后执行，返回定时器的标识vartimerId=setTimeout(function(){ console.log('HelloWorld');},1000);//取消定时器的执行clearTimeout(timerId);----setInterval() clearInterval()定时调用的函数，可以按照给定的时间(毫秒)周期调用函数//创建一个定时器&#x

然后执行命令cat /flag :

RCE知识点:1.rce分为远程执行ping，和远程代码执行evel。漏洞出现原因：未在输入口做输入处理。涉及到ping命令:ping是windows，linux系统下的一个命令，ping也属于一个通信协议，是TCP/IP协议的一部分，利用ping命令可以检查网络是否连通，可以很好的帮助我们分析和判定网络故障。2.PHP执行系统外部命令system()exec()passthru()PHP作为一