- 博客(10)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 【DVWA-sql注入】
就是通过把恶意的sql命令插入web表单递交给服务器,或者输入域名或页面请求的查询字符串递交到服务器,达到欺骗服务器,让服务器执行这些恶意的sql命令,从而让攻击者,可以绕过一些机制,达到直接访问数据库的一种攻击手段。sqlmap -r "/home/xlvbys/桌面/dvwa-midum-post.txt" -p id -D mysql -t user --columns。我们根据id=1’报错和id=1’ and ‘1’=’1正确,我们可以知道是字符型注入,查看源代码知道就是字符型注入。
2023-09-27 11:00:48
201
1
原创 upload-lab-17 -二次渲染绕过
用010Editor编辑器进行对比两个GIF图片内容,找到相同的地方(指的是上传前和上传后,两张图片的部分Hex仍然保持不变的位置)并插入PHP一句话,为了方便大家测试,这里提供一张网上某个大佬提供的GIF图片,当时我也找了很久,大家可以保存一下https://wwe.lanzoui.com/iFS。最后再做了一次二次渲染,但是后端二次渲染需要找到渲染后的图片里面没有发生变化的Hex地方,get传参0=assert 加上 post传参1=phpinfo();上传正常的GIF图片下载回显的图片,
2023-09-06 22:08:21
486
1
原创 msf-永恒之蓝利用演示 - 小吕不忧伤
使用Msf演示永恒之蓝漏洞的利用过程MSF的功能模块介绍 MSF所用功能主要可分为这几个模块,每个模块都有各自的功能领域,形成了渗透测试的流程
2023-08-29 08:37:57
182
2
原创 文件包含漏洞
文件包含当我们在遇到文件上传并且有白名单校验的时候,利用文件包含可以getshell(brupsuit)上传文件,该文 件后缀名(php),插入
2023-07-28 22:16:22
68
1
原创 (ssrf)服务器端请求伪造漏洞总结
服务器端请求伪造原理:服务端代理用户对用户输入的URL无条件发起请求,并将response返回给用户。用户可以填写内网的任意IP
2023-07-12 09:13:09
103
1
原创 xss漏洞总结
Xss漏洞(跨站脚本攻击)原理通过网页插入恶意脚本,如前端的HTML和JavaScript。当用户浏览网页时,浏览器执行用户输入
2023-07-11 10:37:08
228
1
原创 dvwa xss跨站脚本攻击
客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。<持久化> 代码是存储在服务器数据库中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内)。一般是后端代码进行处理。
2023-04-16 09:40:45
287
2
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人