JBlock的博客

今天我们我们讨论下命令注入，在之前我已经就命令注入的理论注入的理论知识做了介绍，所以只是在简单说一下，不再缀述。命令执行执行漏洞是指攻击者可以随意执行系统命令，它属于高危漏洞之一，也属于代码执行的一部分。漏洞产生原因：1.过多调用系统命令，或者说是在调用系统命令时不慎重。2.在调用系统命令时过滤不严格。3.在web开发中使用了一些不可控的函数或使用类不恰当，如eval()(动态执行php代码的函

介绍今天笔者便用dvwa漏洞测试环境来探讨一下跨站请求攻击。 Csrf全称为Cross-Site Request Forgery中文解释为跨站请求伪造攻击。Csrf通常与XSS结合起来进行利用，一般存在XSS漏洞的网站，很大可能也存在Csrf漏洞。二者最简单的区别就是一个是获得用户信任，一个是获得服务端的信任。生活场景 比如说有一天，你闲来无事在寝室上网，然后打开网页，查看一下自己的银行余e，

我们已经在前面讨论过sql注入漏洞产生的原因和一些绕过waf的技巧。今天话不多说直接上测试：首先我们先理清手工注入思路： 1.判断是否存在注入，注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.下载数据LOW级别必须的第一步，看源码：<?php if( isset( $_REQUEST[

漏洞产生原因的本质是：用给定的可控的输入，输入了不可控的参数或代码，产生了不可控的结果。文件包含漏洞我在前面已经进行过讲述，今天就漏洞测试和漏洞利用讨论下，漏洞测试环境是Dvwa。漏洞产生原因：被包含的页面可以被攻击者控制，也就是说攻击者可以随心所欲地去包含某个页面。 由于本次测试远程包含测试出现问题，暂不测试，本阶段暂时只测试本地包含。漏洞测试：Low首先查看源码：<?php //

今天到了比较有意思的地方，一句话我们要传木马啦！这个就比较有意思了，毕竟我们查找漏洞最想要的效果之一就是传马成功，获得我们想要的权限。 攻击原理： 1.web容器的解析漏洞 2.配合解析漏洞进行waf绕过和上传木马。 因为我用的web容器是Apache，所以暂且只介绍Apache的文件解析漏洞。 比如现在我们有一个1.php.rar.xx.kk的文件，那么服务器会报错吗？答案是否定的，A