.jpg){kind=avatar}
搜狗输入法绕过windows锁屏复现
搜狗输入法绕过window锁屏复现环境准备window10环境(我这里使用的虚拟机环境) 搜狗输入法最新版 复现步骤这个漏洞很早之前就存在,相关文章参考 https://wooyun.xyz/bug_detail.php?wybug_id=wooyun-2015-0130018 回到正题 在window10锁屏界面点击屏幕键盘,切换搜狗输入法,并将键盘拖动到输入法附近,使输入法的图标显示出来。 之后打开菜单,点击游戏中心,之后没下载游戏中心的会下载,之后随便点一个跳转登录页面,我们点击qq手机版登录。 之后我们会跳转到qq的下载页面,我们点击window下载,发现会弹出来下载位置的文件夹。 之后我们去c盘:windows/system32/cmd.exe,那么我们就可以实现cmd拿取终端了。 那么引申一下;百度输入法》超会写》ai创作》设置》词库》导入阅读选项也可以打开文件夹完成以上操作,同样谷歌输入法也存在该漏洞。 总结该漏洞产生原因是微软屏幕键盘相关程序主动以特权接口加载第三方中文输入法导致 该漏洞于8月1日在微信群大 ...
sql注入的绕过和修复建议
sql注入绕过技术大小写绕过当访问id=1 and 1=1时返回no back,尝试使用任意关键字大小写绕过,比如将and大写AND(任意字母大小写都可以aNd、And都行),如果id=1 And 1=1返回与id=1相同结果,id=2 And 1=2返回与id=1不同的结果,说明存在SQL注入。后续命令如果被拦截,都进行一定的大小写尝试绕过。 双写绕过如果访问id=1‘报错,后续访问id=1’ and 1=1也报错,且返回报错的信息只有“1=1”没有and的话,说明and被过滤了,尝试大小写绕过,如果不成功,就尝试双写的方式绕过,比如anandd 1=1,当anandd被过滤中间的and后,就只剩下了and,所以这时传入数据库中的语句是and 1=1,后续思路大差不差,通过返回的报错信息来双写相关语句。 编码绕过访问id=1‘,发现报错,访问id=1 and 1=1和id=1 and 1=2时,发 ...
sql注入相关学习
原理前端向后端发送某些数据,后端在向数据库发送sql语句请求时,如果没有对相关参数进行严格过滤,则有可能会导致危险的SQL语句被输入数据库中进行查询,从而导致数据库被未授权增删改查。 sql注入要素1.输入内容的位置没有做限制,用户可以自由控制输入的内容。(参数用户可控) 2.用户输入的内容可以被带入数据库中执行。(参数带入数据库查询) 以后端php语句为例: 1$query = "SELECT * FROM users WHERE id = $_GET['id']"; 那么这里的参数id就是可控的,我们可以任意拼接sql语句进行攻击。 当传入的ID参数为1’时,数据库执行的代码如下图所示 1select * from users where id = 1' 这行sql语句不符合数据库语句规范,所以会产生报错。当传入的ID参数为1 and 1=1时,执行的SQL语句如下所示 12select * from users where id = 1 and 1=1 #当为真时select * from users where ...
Butterfly主题美化
一、butterfly主题下载与主题更换在hexo根目录下输入以下命令进行下载git下载方法 1git clone -b master https://github.com/jerryc127/hexo-theme-butterfly.git themes/butterfly npm下载方法 1npm install hexo-theme-butterfly 修改根目录_config.yml主题查找theme关键字,将默认主题修改为butterfly 1theme: butterfly 主题配置文件新建主题盘配置文件**_config.butterfly.yml,并将theme文件夹下主题配置文件_config..yml内容复制粘贴在_config.butterfly.yml**中。 二、修改网站主页信息导航栏将先要添加的目录注释解除掉,并输入以下命令新建相关目录文件 123456789101112131415161718192021\# Menu 目錄menu: 首页: / || fas fa-home 归档: /archives/ || fas fa-archive 标签: ...
Hexo个人博客搭建
一、环境配置node.js1.介绍node.js官网:https://nodejs.org/zh-cn Hexo 是一款基于 node.js的静态博客框架,所以需要配置好node.js环境。 2.环境配置步骤首先去node.js官网下载稳定的预构建安装程序,之后新建文件夹将安装程序放入,启动过程中可以更改文件储存路径(虽然但是还是不建议放c盘) 然后在电脑设置中搜索高级系统设置,点击环境变量。这时你会发现预安装程序已经将node.js的环境变量写入系统变量(环境变量)了。 .mcgkrrxribnn{zoom:80%;} 之后点击win+R,输入cmd,打开终端输入node -v和npm -v查看版本,发现已经出现版本号。 之后在存储node.js的文件夹中新建两个文件夹【node_global】和【node_cache】 之后在用户变量的PATH里,将默认的 C:APPData\Roaming\npm 修改成 C:\Program Files\nodejs\node_global 完成后我们退出来,在系统变量处新建一个NODE_PATH,并写入 G:\x ...
