- 博客(81)
- 收藏
- 关注
RSS订阅原创 PortSwigger Labs 之 点击劫持利用
点击 store,view exploit,调整 div 的 top 属性值,将透明度设 0.1 方便观察位置,位置到大约 delete account 位置。a 标签透明度置低后,badclick 显示出来了,由于 a 标签的样式 z-index:2,div 的 z-index: 1,数值大的,视觉层级置顶。回到 lab 中,加载一个带有加载 myaccount 的 iframe,并且设为透明,此时 a 标签透明化了,看不到,但是点击 click me 会执行 a 标签的弹框。
2025-07-18 22:28:09
344
原创 渗透测试入门到进阶PortSwigger Labs靶场详解
说明存在 administrator 用户,如果不存在的不会执行除零报错。,应该是长度超限了,删除原始 cookie 值发送。提示超过一行数据,需要用 limit 限制。,提示 and 条件必须用布尔表达式。when 1=2 时不执行除零报错。无报错,说明 users 表存在。cookie 值后面加单引号报错。可以看到用户名出来了。
2025-07-09 09:08:33
100
原创 渗透实战:条件响应的sql盲注用burp或python脚本爆破
因为 users 表中可能存在多行数据,不限制的话就会返回多个 a,导致等式不成立。,把 a 添加到 payload 位置,从列表中添加 a-z,0-9。这是我自建的表,数据都是随机生成的,用来方便理解盲注的语句构造。当 length>22 是没有返回,说明长度小于或等于 22。,查询 password 的长度大于 1 为真,返回内容。再通过 substring 函数依次爆破每个字符。,相当于 and 'a'='a',为真返回数据。当 查询的表不存在时,自然查不到。数据库本身支持这种逻辑。
2025-07-07 14:35:20
143
原创 PortSwigger Labs SQLInjection LAB6-7
【代码】PortSwigger Labs SQLInjection LAB6-7。
2025-07-04 22:47:35
168
原创 渗透实战:使用隐式转换覆盖toString的反射型xss
throw a, b, c 的逻辑是依次执行后面的参数,但是只返回最后的参数值作为错误信息。例如我们 throw 后面传入三个触发 alert 的事件,最后传入 1339, 如下所示。可以理解为 throw 会计算和执行后面的内容,只返回最后一个参数执行结果。漏洞点也确实在这里,我们一起看下 lab 给出的解题方法,分析下他的思路。协议,表示点击时会执行后续的JavaScript代码而非跳转URL。依次弹窗 1,2 后返回最后的参数执行计算的结果 2。依次弹窗 1,2,3 后抛出错误 1339。
2025-06-26 23:04:33
146
原创 渗透靶场:事件和属性被阻止的反射xss
本关很多标签被拦截了,需要使用 burp 模糊测试哪个标签可以用。这里没有显示 click me,因为在 svg 标签中需要用。标签中用来给动画设定属性的,看看。
2025-06-25 23:00:32
173
原创 绕过沙盒机制和csp策略的反射xss
ng-focus 是当输入框被聚焦时执行后面的逻辑,payload 最后有#x。是浏览器原生事件对象的 API,用于获取事件冒泡路径上的 DOM 节点数组。的结果)传递给右侧表达式,并在沙箱外执行,最终调用全局函数。当我们输入<input id=x>页面多了一个输入框。是浏览器环境中的全局对象,所有全局变量和函数(如。本用于排序,但此处被用来执行表达式。数组顺序:当前元素 → 父元素 →。,规避 CSP 对危险对象的检测。用#x 访问时就会聚焦搜索框。我们一起分解看下什么意思。对象的冒泡路径数组。
2025-06-20 22:12:27
297
原创 渗透实战:绕过沙箱机制的反射型XSS
不能弹窗,因为这里存在沙箱机制,不允许运行此函数,这里需要绕过沙箱机制执行 alert。)时,实际比较的是整个字符串与单个字符的规则。根据逻辑,任何字符串(如。是 angularJS 中用来将字符串解析为可执行函数,通过。,这里就是通过访问键值对的方式获取键的值。当我们输入 1 时,看到我们输入的内容被放入。执行我们输入的 key,可以尝试用。可以得到 2,这里我们可以输入。进入修改邮箱的界面,修改抓包。,避免直接使用引号,通过。可以看到我们输入的第二组。angularJS 中,经过测试,发现我们输入的。
2025-06-19 21:05:58
473
原创 渗透实战:利用XSS获取cookie和密码
之后点击轮询可以看到目标向的域名发送的请求,找到一个请求中带有 secret 和 session 字样的就是 cookie 信息。将复制的域名放到 fetch 中,body 为 document.cookie,就是访问这个留言板的用户的 cookie。访问 my-account 转包,将 cookie 替换重放即可登录管理员账户。留言板位置找到注入 xss 的位置后,构造获取对方密码的请求。输入的任何单引号双引号尖括号都会被 unicode 编码。直接换另一种代码执行方式。里面可以执行 js 代码。
2025-06-13 23:35:49
756
原创 xss注入遇到转义,html编码绕过了解一哈
从返回的源码看,输入的双引号被 html 实体编码了,整体被当作字符串处理了。当我们输入 html 编码后的单引号,后端服务器没识别到单引号,不在添加转义符。可以看到服务器端给我们的单引号转义了,添加转义符方法不行了。那我们直接输入 html 实体编码后的单引号进行绕过。可以看到我们输入的 url 放到了。可以看到单引号成功输入到链接中。先正常留言查看返回情况。中传入 url 拼接。
2025-06-13 17:24:25
226
原创 渗透测试PortSwigger Labs:遭遇html编码和转义符的反射型XSS
1 处是我们输入的标签被服务器 html 编码后返回,被浏览器当作字符串显示出来,无法执行 javascript。让服务器添加的转义符失效,单引号逃逸。依然存在转移单引号,我们输入转义符。,第一个分号用来结束前面的变量定义。2 处是唯一能控制的地方,正好在。时 js 中的注释,如下图所示。标签范围内,可以尝试构造。
2025-06-11 22:21:20
258
原创 渗透靶场PortSwigger Labs指南:规范链接的反射XSS
指定网页的规范URL(Canonical URL),告诉搜索引擎哪个版本是页面的“主版本”,避免访问到其他版本的链接。但是由于这里输入的东西不会显示到页面上,无法让用户点击执行,所以需要通过设置快捷键的方式执行。中的 url 后输入构造的语句,对规范链接设置某种可触发事件,触发。时页面出现了问题,我们输入的一个</script>被 DOM 解析了。可以看到链接在单引号内,我们可以尝试通过拼接单引号设置某种属性。标签中的关键属性,用于定义当前文档与链接资源之间的关系。可以看到我们测试语句的。
2025-06-10 23:17:31
262
原创 渗透实战PortSwigger Labs指南:自定义标签XSS和SVG XSS利用
先输入一些标签测试,说是全部标签都被禁了除了自定义的自定义onfocus当元素获得焦点时(如通过点击或键盘导航),触发,弹窗显示当前页面的Cookie信息。id=x为元素分配唯一标识符,便于JavaScript或CSS操作。tabindex=1使元素可通过键盘Tab键聚焦,从而更容易触发onfocus事件。最后加个#x#是聚焦到对应的元素。
2025-06-09 22:46:52
325
原创 Lodash原型污染漏洞原理详解
JavaScript是一种基于原型的语言,每个对象都有一个原型对象,对象以其原型为模板,从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,这种关系被称为原型链。在这个例子中,p1是Person构造函数的一个实例,它拥有name和age属性,同时还有一个__proto__属性指向。原型污染是指攻击者通过某种手段修改JavaScript对象的原型(通常是),从而影响所有基于该原型的对象的行为。在Lodash的案例中,某些函数(如)未能正确处理特殊属性(如和__proto__
2025-06-07 23:39:42
1964
原创 渗透实战PortSwigger靶场-XSS Lab 14:大多数标签和属性被阻止
script>标签被拦截我们需要把全部可用的 tag 和 event 进行暴力破解通过爆破发现body可以用再把全部 events 放进去爆破这些 event 全部可用调整窗口大小触发lab 要求我们使用 print()函数,并且在不需要用户交互的情况下自动触发 print().这里可以用iframe标签在页面插入一个区域加载漏洞页面,并且通过onload属性加载一个窗口值从而触发 print()加载完成后,onload 事件触发,修改其宽度为 100px。由于<iframe>
2025-06-05 22:51:26
268
原创 渗透实战PortSwigger靶场:lab13存储型DOM XSS详解
存储型DOM XSS详解进来是需要留言的,先用做简单的 html 标签测试发现面的</h1>不见了数据包中找到了一个他是把用户输入的<>进行 html 编码,输入的<>当成字符串处理回显到页面中,看来只是把用户输入的第一个<>进行了编码构造也可以。
2025-06-04 14:09:44
277
原创 渗透实战PortSwigger Labs:反射型 DOM XSS代码利用解析
输入字符进行测试,回显到页面上我们输入的东西在<h1>标签中,不存在其他位置。<script>标签中存在search()方法,通过将参数引入我们还注意到一个文件,先去看看什么逻辑功能:发起异步GET请求到指定路径(path),并拼接当前页面的查询参数表示请求完成,表示请求成功。eval的使用:将响应文本直接转换为JavaScript对象。这种做法存在安全风险(如代码注入)可以执行弹窗等 xss 行为在抓包时发现了上面提到的参数将输入内容引入给search()
2025-06-02 23:36:49
1091
原创 渗透实战PortSwigger Labs AngularJS DOM XSS利用详解
本Lab学习到关于AngularJS的 xss 漏洞利用直接输入回显页面,但是把<>进了 html 编码了当我们输入{{1+1}},没有当作字符处理,而是执行了{{}}是多种前端框架(如 Vue、Angular、Django 模板等)中常见的模板插值语法,主要用于将数据动态绑定到视图,双花括号{{1+1}}包裹的表达式会执行运算。测试,因为存在沙箱机制过滤了危险字符这里用到新的绕过方法下面分析为什么这样可以执行alert()创建 AngularJS 代码</</</</
2025-06-02 10:30:15
737
原创 渗透测试靶场PortSwigger Labs CSRF详解
提示使用wiener:peter登录登录是 一个修改邮箱的界面先改为aa@aa.com抓包burp生成csrf的poc进入exploit server,将poc放到body,点击store,再点击deliver exploit将攻击载荷发送到目标。
2025-05-18 16:44:37
1088
原创 python运行py程序报错解决:ModuleNotFoundError
其实就是urllib3 版本低了,我当前版本是 1.26.2。某日我在运行我的 dirsearch.py 时报错如下。
2025-05-14 09:01:04
411
原创 告别默认配置!Xray自定义POC开发指南
查看全部默认启动是 819 个 poc修改 config.yaml 文件配置,自动包含自定义 poc,自定义 poc 必须以“poc-”为命名前缀自定义 poc 放到 xray 根目录即可自定义添加了 1 个 poc,加载时变为 820 个测试 poc。
2025-04-25 19:24:59
960
原创 别再用单一工具了!BurpSuite+Xray联动渗透实战:效率提升300%的漏洞收割机
视频演示请前往:https://www.bilibili.com/video/BV1jNogYzEwu/?启动 xray,结果输出到 result.html。burp 配置上游代理为 xray 监听端口。以 dvwa 为例吧,真实环境就不给展示了。进入 dvwa 页面随便点击漏洞点。在结果中找到测试 payload。我这边是 docker 起的。
2025-04-17 14:31:12
220
原创 黑客帝国必备神器!Nmap全网最全实战手册:从零基础到渗透高手
主机发现端口扫描服务版本检测操作系统识别脚本化漏洞检测# 基本语法nmap [扫描类型] [选项] {目标}
2025-04-01 13:00:45
222
原创 渗透测试中发现ak/sk泄露时的验证工具
访问:http://localhost:8000/#/admin/login。注:8000 端口运行,如占用先关闭其他进程。
2025-03-28 08:32:52
189
原创 宇宙最全wireshark过滤数据包命令合集
以下是一个 Wireshark 过滤流量命令语句合集,涵盖了常见的协议、端口、IP 地址、域名等过滤条件。你可以根据实际需求选择合适的过滤器。
2025-03-21 16:43:44
767
原创 DVWA 命令注入从 Low 到 Impossible 教程及源码分析
在 Impossible 级别,DVWA 通过严格的输入验证和白名单机制彻底修复了命令注入漏洞。使用更严格的输入验证,例如只允许 IP 地址格式的输入。使用白名单机制,只允许特定的字符或命令。函数对用户输入进行转义。没有对用户输入做任何限制。**源码分析:**他给。
2025-03-16 23:16:07
532
原创 docker部署DVWA-暴力破解-难度从low到impossible
跟low一样去爆破就好,源码中只是添加了登录延时的效果,爆破没那么快了,还添加了对输入过滤的函数。浏览器设置代理127.0.0.1:8080,流量就会走到burp监听的8080从而抓到流量。刚登录需要进行reset database,然后点login就可以登录。查看返回包长度可以看到有一个和其他都不同,这个就是爆破出来成功登录的。查看源码,这里存在sql注入,没有对输入过滤,没有使用预编译查询。添加了token验证机制,需要提取token登录。导出burp的证书到浏览器导入。我用的这个浏览器代理插件。
2025-03-16 22:42:59
811
原创 你的docker search资源无响应?一招教你解决!
8888是kali的端口,这样做的目的是将本机127.0.0.1:7890转发到kali的8888端口,这意味着通过走kali的8888端口代理就可以访问到WAI面的网站。我的docker一般都是在kali上运行,但是一直有个问题,就是docker search 一直无法响应。先得本机装个proxy工具,我的默认7890端口。
2025-03-10 14:45:32
422
原创 XSS-LABS靶场通关讲解
输入过滤:使用白名单限制特殊字符(如输出编码:根据上下文转义HTML/JS(如转为HTTP安全头Secure框架安全:避免直接使用v-html或innerHTML等危险API。
2025-03-09 17:51:35
1153
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人