0x24bin's Blog

0x00 背景 CRLF Injection很少遇见，这次被我逮住了。我看zone中（http://zone.wooyun.org/content/13323）还有一些同学对于这个漏洞不甚了解，甚至分不清它与CSRF，我详细说一下吧。 CRLF是”回车 + 换行”（\r\n）的简称。在HTTP协议中，HTTP Header与HTTP Body是用两个CRLF分隔的，浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以，一旦我们能够控制HTTP 消息头中的字符，注入一些恶意的换行，...

set和list是Python常用的结构类型，这里不再多述。本文主要是总结了一些它们配合起来的一些妙用。 （1）去重 比如一个序列： >>>line = ['a','b','a'] 为了去除重复的'a'，可以进行如下操作： >>> list(set(line)) ['a', 'b'] （2）提取两个序列中出现过的非重复元素 比如两个序列： >>> line1=['a','b','a'] >>> line2=['a','c'] 为了得到这两个序列中出现的不同元素...

nmao用于信息收集的7个常用脚本 1、dns-brute.nse 尝试通过暴力猜测常见的子域来枚举DNS主机名。 使用dns-brute.srv参数，dns-brute也会尝试枚举常见的DNS SRV记录。 利用命令：  namp --script dns-brute nmap.org 2、traceroute-geolocation.nse 列出traceroute中每一跳的地理位置，并可选择将结果保存到KML文件，可在Google地球和地图上绘制。 从而了解路由跳转节点 具体利用命令：  nmap --traceroute...