CapybaraJ

sqli-labs,less11-22，相当于是1-20的post版本，并加了update和头注入 Less11~12: POST union注入 Less11 普通，改成post了而已，username和password都能用 Less12 闭合方式不同了而已 Less13~14 POST 报错注入 Less13 username的闭合方式为：username=('$username') and password = ('$password') admin') and 1=2# admin') and 1=1# admind') and (select 1 from (select count(*),concat_ws("|",(select(select(select distinct concat_ws(":",username,password) from security.users limit 1,1))from information_schema.tables limit 0,1),floor(rand(0)*2))a f ...

sqli-labs,一个很好的学习sql的集锦网站，try 安装 https://blog.51cto.com/2042617/2338798 直接开始吧！ 我装在docker里面，直接： docker run -dt --name sqli-lab -p 80:80 --rm xxx Less1~4：union元数据 比较普通的union查询注入，也没有什么waf，主要是闭合方式的不同 less1 1’+order+by+3–+ 1’+order+by+4–+ o’+union+select+1,@@version,3–+（用+代替空格，单纯–不行，用%23，也就是#的编码也可以） o’+union+select+1,group_concat(schema_name),;%23 o’+union+select+1,2,group_concat(table_name)+from+information_schema.tables+where+table_schema=‘security’%23 o’+union+select+1,2,group_concat(column_name ...

这是一个demo实例；自己写了一个sm.ms图床和typora的上传工具 https://sm.ms 你值得拥有 其实iPic和很多sm.ms插件都可以，写这个主要是为了完美适配自己的需求吧，我的需求如下 typora不单是写博客用，平时也经常用到，不想默认上传； sm.ms图床的信息其实不太好收集，所以希望留下上传记录，包括hash和对应关系，方便删除 写的特别好的目前还没看到，就是包括操作，安装在内都比较漂亮的；我也在等待~ 基础测试 图片1：<img 标签 我用了很多用例，来测试我的程序稳定性 图片2：<img src = ''类型 图片3：常见类型 图片4：网络图片类型 错误测试 测试1：在代码中的应该被忽略，但是如果和使用的图片同名这个我就很尴尬，没处理好233333 123<img src = 'xxxxx.jpg' alt="im ...

最近碰到了php无参数执行的题，看了觉得很有意思，mark一下 简单说一下：无参数执行这个为什么会产生；一般我们要是看见eval(_GET['wtfk'])就可以参数执行啦，但是很有可能碰到这个waf: 123if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $arg) { eval($arg);} 划重点：'/[^\W]+\((?R)?\)/'等同于'/[a-z]+\((?R)?\)/' 这是一个递归正则，就是无限嵌套无参函数；比如a(b(c()))这样就可以；a(b(90))就不行 应对方法 参考链接：PHP Parametric Function RCE 具体的我就不说太多了，参考链接里面写得非常好 罗列一下，大概是，获取变量的、获取随机数的、环境列表、操作数组的 123456789101112131415getenv(void): array; // 全局变量array_flip(array $array): array; //交换键值 ...

对我的paperbox（现在这个主题，landscape plus基础修改而来的，我引用了）做基于自己喜好的改造； Part5: 添加评论系统和统计 这次做的事情： 评论系统 阅读统计 版权声明 评论系统 现在看到比较好的是Disqus，畅言，Valine，来必力， gitment和uttrancens Disqus 已经被墙了…也有几种免翻墙用 Disqus 评论的解决办法，例如 disqus-proxy、DisqusJS和 Disqus PHP API，不过它们都需要另外一台服务器来进行反代理 畅言，搜狐作的评论系统，需要备案才能使用。 来必力，韩国的一个评论系统，看上去不错，而且支持多账号登录，但是好像慢哦 Valine，基于 Leancloud ，支持匿名，其实不错啦，而且hexo-theme-landscape好像支持了，copy一下应该就好了 gitment，使用 Github 的 issue 系统作为评论系统，权限太高了。。。太不安全了。。。 uttrancens，同上，但是权限控制比较好，可以限制为只操作某个repo的issue 权衡之后还是想选择uttrance ...

对我的paperbox（现在这个主题，landscape plus基础修改而来的，我引用了）做基于自己喜好的改造； Part4: 404与按月归档 没想到这么快就更新了23333 这次想做的事情增加到： 一个是404页面的添加 一个是按月归档 评论系统 阅读统计 如果有机会，我想更换一个好看点的about me… 404 腾讯公益404考虑下 source/404.html123456789101112<html><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/><title>Oops</title><span style="font-size:14px;"><html> <head> <title>公益404</title> ...

对我的paperbox（现在这个主题，landscape plus基础修改而来的，我引用了）做基于自己喜好的改造； Part3: 字体美化与搜索框的添加 主题图变化 换图 cube优化 cube改版！ cube不会自动滚动了 速度 加速访问 [见hexo博客搭建优化，这个和paperbox没有关系，所以不放在这里写] 添加时间 有个Update比较好~ 标签改一下 太丑了；太小了 字体问题 同上 代码高亮 感觉代码不是很好看，说不定就会改了 search 添加站内搜索 字体问题 蜜汁绿色，哈哈哈哈 so easy~ 1234567891011121314// source/css/_partial/header.styl#blog-title text-decoration: none //修改了下颜色 color: blog-title-color font-size: blog-title-size font-weight: bold //修改了字体 font-family: fantasy line-height: blo ...

对我的paperbox（现在这个主题，landscape plus基础修改而来的，我引用了）做基于自己喜好的改造； Part2: 加入Updated时间和标签美化~ 主题图变化 换图 cube优化 cube改版！ cube不会自动滚动了 速度 加速访问 [见基于Hexo创建博客，这个和paperbox没有关系，所以不放在这里写] 添加时间 有个Update比较好~ 标签改一下 太丑了；太小了 字体问题 同上 代码高亮 感觉代码不是很好看，说不定就会改了 search 加上search框 添加更新时间 原版没有更新时间，感觉很别扭呀，不知道这个博客更新过没，也不知道时效；很苦恼，网上一搜，都是next的主题的，还有一个基于landscape的，非常具有参考价值：hexo优化及主题Landscape-F 修改layout页面模板 根据我们上一篇的思路，应该是两个操作，layout模板——修改页面显示、获取时间 每篇文章开头都有个时间，这个时间是在哪的呢：layout/_partial/article.ejs 12345<article id= ...

对我的paperbox（现在这个主题，landscape plus基础修改而来的，我引用了）做基于自己喜好的改造； Part1: 主题图片替换~ 原版 原版本身就是一个改版啦，具体介绍如下https://github.com/sun11/hexo-theme-paperbox 关于作者的贡献：https://www.sun11.me/blog/2016/hexo-theme-paperbox/ 要改的地方还挺多的，这边列一下，要改的地方还不少；比如这个时间表示、特别是，我觉得背景太难看了;其次那个小方块也是太难看了，怎么做一个自己喜欢的呢 前端知识太少；方法蠢笨，Orz。但是原版作者啥也没写，所以还是记录下吧 如果遇到啥问题，其实都可以通过看别人的代码结构来得到，具有非常相似的结构 hexo-theme-paperbox hexo-theme-landscape-f hexo-theme-landscape Hexo官方主题landscape-plus优化 计划 速度 加速访问 [见hexo博客搭建优化，这个和paperbox没有关系，所以不放在这里写] 主题图变化 修改成 ...

推荐一些好看的主题 Maupassant https://www.haomwei.com/technology/maupassant-hexo.html 特征点 NextT 这个超火的，这是其中一款，还有好多；定制化和说明书写得比较好 https://github.com/theme-next/hexo-theme-next 特点，标签这些都可以配置；这是最原始的nextT主题，所以没有配置 cube 功能花哨；推 https://github.com/ZEROKISEKI/hexo-theme-cube 特点： archer 感觉这个风格挺多人用的 https://github.com/fi3ework/hexo-theme-archer 有回到顶部按钮和 beantech MDZZ，装不上，应该是最心水的一款了，不过原版感觉最好看！可惜不是hexo的 https://github.com/YenYuHsuan/hexo-theme-beantech 其原版来自：https://github.com/Huxpro/huxpro.github.io paperbo ...