Ocean and Star

Command-Injectionhttps://owasp.org/www-community/attacks/Command_Injection（膜拜大佬） 通过构造 特殊变量 ，利用系统指令越权执行操作。 关键：命令连接符 Low123456789101112131415161718192021<?phpif( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping command. if( stristr( php_uname( 's' ), 'Windows NT' ) ) { // Windows $cmd = shell_exec( 'ping ' . $target ); } else { ...

智慧王冠上的明珠。 浅开一个坑。 虚拟->现实？增强现实 现实->虚拟？虚拟现实 余幼时即好游戏，十余年来常游于戏，更嗜书，二十载春秋阅书无数；所爱角色若天上星辰，地上沙粒；欲现其神色于世，或吾入其世。夜班思之，灵光乍现，物竞天择，遂有此坑:seedling:,愿我日后填坑。 群星灿灿，入我怀中。 虚拟现实 游戏 人物角色特化的储存问题，如何储存那一千个哈姆雷特呢？本地？ 试验存在+种子->灵的可能性。0712.行动 stay for me……please 切片组合 种子+选择器 现在的数字人是如何生成的 啊啊啊啊，好累qwq 今天去了解了一下科研的基础常识。 无从下手的感觉。 啊啊啊啊。 找1一篇有趣的人工智能顶会论文试试水。

限制请求频率是一种防止客户端在短时间内发送过多请求的方法，通常用于保护服务器资源、避免滥用服务或防止某些类型的攻击（例如拒绝服务攻击）。以下是一些常见的限制请求频率的方法： 方法一：使用睡眠（Sleep）函数这是最简单的方式，通过在每次请求后使用 sleep() 函数来引入延迟。 12// 简单的频率限制：每次请求后等待2秒sleep(2); 这种方法简单但不灵活，通常不用于生产环境。 方法二：基于时间窗口的限制这种方法通过记录每个用户请求的时间，并在一定时间窗口内限制请求的次数。 1234567891011121314151617181920212223242526session_start();$limit = 5; // 限制为每分钟最多5次请求$window = 60; // 时间窗口为60秒if (!isset($_SESSION['requests'])) { $_SESSION['requests'] = [];}// 清理旧的请求记录$_SESSION['requests'] = a ...

Brute force与更安全的PDO如其名，是对弱密码的暴力破解。工具：BurpSuit 要点：字典的准确度与容量 代码分析low要点：字典的准确度与容量 medium 相比于low，medium新增的点： mysqli_real_escape_string()：对输入的user和password进行转义，编码的字符是 NULL（ASCII 0）、\n、\r、\、’、” 和 Control-Z。防止sql注入。但不防暴力破解（sql注入中‘ 和“就失效了） sleep(2) ：如果失败使脚本暂停执行 2 秒钟。它通常用于延迟执行，以便进行一些时间间隔处理，例如限制请求频率、等待某些资源准备就绪。这两秒钟内不会处理请求。 其他注意的点： $pass = ((isset($GLOBALS["___mysqli_ston"]) && is_object($GLOBALS["___mysqli_ston"])) ? mysqli_real_escape_string($GLOBALS["___mysqli_ston&q ...

是的，冤钟小姐姐我又来开新坑了，之后会记录一下每天的视频编码学习情况。朴素且扎实。今天找老师交流了一下（虽然2min后就偏题了），但是对以后的方向更明晰了（当然对自己性格的弱点也更明白）（这算是历史遗留问题） 目的： 巩固coding的能力 学习机器学习 了解科研的流程 有始有终 指向： 去读一篇文章然后复现 去读一些综述，那篇扫盲还不错。 日后安排： 周1、周3、周五，明天两小时 周末判断 敌方水晶： 一篇论文 评语：祝我好运。

DVWA这周考web渗透与攻防，在复习的过程中对常见的web漏洞进行了梳理与总结。并且发现了一个超好玩儿的靶场——dvwa 在通关的同时，找出最简单的解法。 如何破解impossible。 今天开始了解dvwa。是的，了解，很奇怪吧。 收获如下： 一些靶场： http://blog.taddong.com/2011/10/hacking-vulnerable-web-applications.html https://github.com/webpwnized/mutillidae 一个工具 https://github.com/google/firing-range（这个工具的用法，下次可以开一篇博客） 增强了英语阅读能力。 几个大佬的github： dvwa的通关攻略：https://blog.csdn.net/weixin_42248871/article/details/127574519 some trouble： x的账号被封了，好烦。明天要探索一下 这几天飘了~ 外面下雨了，鞋子又要被打湿喽 指向： x账号解封( ╯□╰ ) dvwa攻略撰写，明天至少把 ...

JavaScript基础今天仍在向jsp的方向努力。 今天除了推了一点渗透以外，还学了jsp。 学习内容： web server与browser之间的request、respond web server 硬件部分与软件部分的区分 方向： 直接进入主题，上代码阶段。 学习网站：https://developer.mozilla.org/zh-CN/docs/Learn/HTML/Introduction_to_HTML/HTML_text_fundamentals 学习路线： 学习内容： html的基本结构：<p><body><image>之类的标签.写了一个界面。 评价：非常粗糙，活学活用。 源代码: 1234567891011121314<!doctype html><html lang="en-US"> <head> <meta charset="utf-8" /> <title>My test page:Star&l ...

日常的学习记录，方便以后溯源。 通过domain收集ip。（src）发现网站： https://bgp.he.net 信息很多。 用法：通过domain查找ip、AS（ip块） 疑点：描述与目标不符，差别很大 https://www.cloudflare.com/ 不错的学习网站。 描述：在使用https://bgp.he.net的时候，反复出现bgp与AS，一知半解，去了解清楚。 BGP AS之间的通信协议？。AS 通过边界网关协议（BGP）通知其到其他 AS 和路由器的路由策略。BGP 是在 AS 之间路由数据包的协议。 AS 大型计算机连接集群，然后再互相通信，是大型互联网通信的基础。https://www.cloudflare.com/zh-cn/learning/network-layer/what-is-an-autonomous-system/ 信息收集点：assets IP、domain、subdomain、 companies 、web server、 potential public cloud assets、Email、creden ...

配图 OSINT 工具的使用简记OSINT 工具简记以下是一些常见的 OSINT（开放源信息情报）工具的简要说明，方便进行信息收集和情报分析。 1. Shodan 功能：搜索互联网上公开的设备（如服务器、摄像头、路由器等）。 用途：查找特定端口、设备类型、地理位置等信息。 示例命令：shodan search "apache" 查找包含“apache”的设备。 2. Maltego 功能：信息收集和关联分析，生成复杂的网络关系图。 用途：分析域名、邮箱、IP地址、社交网络等之间的联系。 操作要点：基于图形界面操作，适合处理大规模数据关系。 3. Google Dorking 功能：利用搜索引擎高级语法查询公开信息。 用途：查找公开的敏感信息，如未保护的文件、登录页面等。 示例命令：site:example.com filetype:pdf "confidential" 查找example.com上的PDF文件中包含“confidential”的内容。 4. theHarvester 功能：收集域名相关的电子邮件、子域名、IP地址等信 ...