Tag Archives: 演示

Java漏洞演示平台 BodgeIt试用

这里是下载地址:https://github.com/psiinon/bodgeit 总结来说,它是一款很好的Java环境下的漏洞学习环境,搭建起来也很简单。推荐使用虚拟机,最好自己搞实验,测试的时候,不要在本机操作(有可能带来意外风险。) 因为是Java,想要运行它,jdk肯定是必要的。jdk的下载地址在这里。 http://www.oracle.com/technetwork/java/javase/downloads/jdk10-downloads-4416644.html 现在官网最新的版本是jdk 10。 安装完jdk之后,需要配置一下系统环境变量,这个可以利用一下搜索引擎,自给自足。 jdk安装完毕后,需要安装tomcat。 https://tomcat.apache.org/download-90.cgi 根据系统类型自己选择 如果你打开localhot:8080后如期看到了同样的内容,说明Java运行环境已经妥当。 这里,只需要把源码跑起来就行。仔细想了一下,我没有把该环境用作其它,只是测试,于是直接把webapps目录下的ROOT文件夹删除。 将BodgeIt压缩包的root目录改成大写放置到webapps下,刷新,看到预期页面,说明环境已经可以了。 这里有一个要注意的是,演示环境不能放置在公网。 继续看。 当我在search中输入一段  alert(1) 时发现,它弹出了一个窗口,这代表着,我的Javascript代码已经被执行。可以去代码里看一下,它究竟为什么要这个样子做捏? <h3>Search</h3> <font size="-1"> < % String query = (String) request.getParameter("q"); if (request.getMethod().equals("GET") && query != null){         if (query.replaceAll("\\s", … Continue reading

Posted in java, Uncategorized | Tagged , , , , | Leave a comment

php变量函数漏洞演示

什么叫变量函数, 简单点说就是以函数形式执行的一个变量, 就叫变量函数。(标不标准我也不知道, 大概就是这个意思)看变量函数之前, 首先来看一下变量  $v = ‘areyouok’; 这样就定义了一个值为字符串areyouok的变量$v, 如果echo $v,得到的将会是一个字符串这就是普通的变量定义和获取变量值的一个完整过程, 我们通过$v获取了字符串areyouok.如果这个时候, 把$v,变成$v(), 意义就变了, 因为这个时候, $v()就变成了一个变量函数,他会去以函数的方式执行与它同名或者名字命名空间下的同名函数,比如

Posted in php security | Tagged , , , , | Leave a comment