PHP弱类型比较与引发漏洞的总结
0x01 ==和===的问题 ==是比较运算,它不会去检查条件式的表达式的类型。 ===是恒等,它会检查查表达式的值与类型是否相等。 NULL,0,”0”,array()使用==和false比较时,都是会返回true的,而使用===却不会。 1.比较操作 一个数字和一个字符串进行比较,PHP会把字符串转换成数字再进行比较。PHP转换的规则的是:若字符串以数字开头,则取开头数字作为转换结果,若无则输出0。例如:123abc转换后应该是123,而abc则为0,0==0这当然是成立的啦!所以,0 ==’abc’是成立的。当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。 2.Hash比较 "0e132456789"=="0e7124511451155" //true "0e123456abc"=="0e1dddada" //false "0e1abc"=="0" //true 在进行比较运算时,如果遇到了0e\d+这种字符串,就会将这种字符串解析为科学计数法。所以上面例子中2个数的值都是0因而就相等了。如果不满足0e\d+这种...aaencode颜文字加密JS分析,并使用PHP进行编码解码
0x01 前言 今天在看一个网站JS代码的时候发现,JS代码为一串颜文字,而且还能被解析使用,搜索后得知为aaencode加密,此加密能把js代码转化成颜文字。 原作者的aaencode编码地址 https://utf-8.jp/public/aaencode.html 0x02编码过程 网页源码里可以查看到具体的编码过程,摘录如下。 function aaencode( text ) { var t; var b = [ "(c^_^o)", "(゚Θ゚)", "((o^_^o) - (゚Θ゚))", "(o^_^o)", "(゚ー゚)", "((゚ー゚) + (゚Θ゚))", "((o^_^o) +(o^_^o))", "((゚ー゚) + (o^_^o))", "((゚ー゚) + (゚ー゚))", "((゚ー゚) + (゚ー゚) + (゚Θ゚))", "(゚Д゚) .゚ω゚ノ", "(゚Д゚) .゚Θ゚ノ", "(゚Д゚) ['c']", "(゚Д゚) .゚ー゚ノ", "(゚Д゚) .゚Д゚ノ",...整理了一些IP地址查询API接口
0x01国内 ###搜狐接口 http://pv.sohu.com/cityjson #默认GBK http://pv.sohu.com/cityjson?ie=utf-8 #可设置编码 ###太平洋接口 http://whois.pconline.com.cn/ipJson.jsp?ip=xxx.xxx.xxx.xxx&json=true 0x02国外 ###ip-api http://ip-api.com/json/ # 国际化英文显示 http://ip-api.com/json/?lang=zh-CN # 中文显示 http://ip-api.com/json/xxx.xxx.xxx.xxx?lang=zh-CN # 查询某个ip的信息 ###hostip http://api.hostip.info/get_html.php?ip=xxx.xxx.xxx.xxx标签: IP接口
Swaks伪造邮件发信人
Swaks是由John Jetmore编写和维护的一种功能强大,灵活,可脚本化,面向事务的SMTP测试工具。可向任意目标发送任意内容的邮件。 发布网站http://www.jetmore.org/john/code/swaks/ 到此网站查看更新日志,帮助,并找到最新版本的下载链接。 注意:脚本需要在Linux下运行 一些参数: -t –to 目标地址 -t test@test.com -f –from 来源地址 (发件人) -f "text<text@text.com>" -h –helo 邮件头(不明) –timeout 设置超时,单位是秒,默认30s –protocol 设定协议(未测试) -d –data 设定邮件内容,\n换行(可从其他邮件获得内容原文复制粘贴到这里) 一些常用内容: To:收件人\n From:发件人\n Subject:主题\n Date:日期\n Subject:标题\n ...python使用requests库实现HTTP请求
requests是原生的http库,比urllib3更容易使用,语法格式如下: requests.request.method(url,**kwargs) 参数 说明 methodw 接收string。表示请求类型,例如GET,无默认值 url 接收string。表示请求的URL,无默认值 **kwargs 接收dict或其他python类型数据。根据具体需要添加的参数 实例: import requests url = 'http://www.xxx.com/index.html' head = {'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_4) AppleWebKit/537.36 (KHTML, like G...python使用urllib3库实现HTTP请求
使用urllib3库生成一个完整的http请求,请求应该包含请求方式、请求连接、请求头、超时时间和重试次数。通过request方法可以创建一个请求,该方法返回http响应对象,语法如下: urllib3.request(method,url,headers,timeout) 参数 说明 method 接收string。表示请求类型,例如GET,无默认值 url 接收string。表示请求的URL,无默认值 headers 接收dict。请求头,默认为None data 接收dict。POST提交的数据 timeout 接收float。设置请求超时时间 ...搜索内容
热门文章
- DS918+,DS3617xs黑群晖洗白码
- VMware vCenter vSphere ESXi 7.0 许可证&下载链接
- 黑群晖各版本引导下载
- Kali Liunx下msfvenom利用方法
- python base64加解密脚本(可变换码表)
- Kali Liunx字典生成工具Crunch,Cupp,Cewl
- 解决VM虚拟机Kali Liunx连不上网
- JIS-CTF-VulnUpload-CTF01靶机渗透测试笔记
最新文章
- Prometheus 自动发现 K8S Ingress 实现黑盒监控
- Prometheus 在 K8S 集群中自动发现常用角色(Role)的解释
- K8S 使用Local Path Storage(本地路径存储)
- Alertmanager 企业微信告警配置 自定义告警模板
- Alertmanager 邮件告警配置
- K8S部署Elasticsearch集群(Elasticsearch Operator)[ECK]
- Prometheus blackbox-exporter自定义User-Agent
- Prometheus Blackbox(黑盒监控)
最新评论
- ID:冬天里的火
可以,现在弄k8s 的越来越多了,确实都...
友情链接
日期存档
- 2024年11月(6)
- 2024年10月(8)
- 2024年9月(6)
- 2024年8月(2)
- 2024年7月(7)
- 2024年6月(1)
- 2024年5月(6)
- 2024年4月(1)
- 2024年3月(3)
- 2024年2月(6)
- 2024年1月(11)
- 2023年12月(13)
- 2023年11月(13)
- 2023年10月(8)
- 2023年9月(11)
- 2023年8月(4)
- 2023年7月(18)
- 2023年6月(16)
- 2023年5月(16)
- 2023年4月(4)
- 2023年3月(7)
- 2023年2月(26)
- 2023年1月(10)
- 2022年12月(7)
- 2022年11月(2)
- 2022年10月(5)
- 2022年9月(8)
- 2022年8月(9)
- 2022年7月(4)
- 2022年6月(3)
- 2022年5月(3)
- 2022年4月(3)
- 2022年3月(7)
- 2022年2月(1)
- 2022年1月(2)
- 2021年12月(6)
- 2021年11月(3)
- 2021年10月(5)
- 2021年9月(8)
- 2021年8月(3)
- 2021年7月(3)
- 2021年6月(3)
- 2021年5月(3)
- 2021年4月(4)
- 2021年3月(3)
- 2021年2月(1)
- 2021年1月(1)
- 2020年12月(8)
- 2020年11月(6)
- 2020年10月(1)
- 2020年9月(3)
- 2020年8月(1)
- 2020年7月(5)
- 2020年6月(1)
- 2020年5月(2)
- 2020年4月(7)
- 2020年3月(20)
- 2020年2月(12)
- 2020年1月(3)
- 2010年10月(3)