猫宁!!! 参考链接:https://www.jianshu.com/p/5491ce5bfbac https://www.cnblogs.com/wujuntian/p/8183952.html https://www.cnblogs.com/lonnie/p/9027566.html https ...
分类:
其他好文 时间:
2019-05-26 00:23:08
阅读次数:
253
首先我们对CRSF进行一个介绍 CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务 ...
分类:
其他好文 时间:
2019-05-19 14:08:11
阅读次数:
149
搭建WebGoat 安装前置条件说明 我们这里选择WebGoat的jar版本,由于WebGoat 8的jar文件已自带了tomcat和数据库,所以不需要再另外安装tomcat和mysql这种东西,只需要安装jdk用于运行jar文件即可。 由于WebGoat 8使用jdk 1.8编译所以我们也需要安装 ...
分类:
Web程序 时间:
2019-05-08 16:11:39
阅读次数:
626
DVWA-SQL注入 一、SQL注入概念 SQL注入是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 二、手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解SQL查询语句中的字段数 3.确定回显位置 4.获取当前数据库 5.获取数 ...
分类:
数据库 时间:
2019-05-03 14:48:53
阅读次数:
161
前面有一段时间审计了一个小众的cms发现了很多漏洞,作为一个新手,个人觉得最开始学习代码审计的时候从一些简单的系统学起是很有必要的,比如最开始可以从bwapp、dvwa等,然后再慢慢过渡到一些小众的cms,然后可以过渡到像dede、wordpress这些,虽然不一定能审计处漏洞,但是学习到他们的一些 ...
分类:
其他好文 时间:
2019-03-21 10:32:47
阅读次数:
671
出于某些原因,公司要求配个靶机环境,记录下遇到的小坑。 1.ubuntu服务器是找资源部门提供,给的user没有各种权限。安装xampp需要找他们帮忙用root账号,给的账号还不能用退格上下左右之类的按键,需要修改配置文件。。 2.xampp启动的时候因为我没有权限!居然没有启动成功mysql。。甚 ...
分类:
系统相关 时间:
2019-03-19 18:31:49
阅读次数:
230
命令注入 commond_injection 源码、分析、payload: low: 分析源码可以看到从用户那里取得ip数据,调用系统shell执行ping命令,结果直接返回网页,ping的目标就是用户提交的ip数据。但是没有任何的过滤防护导致系统shell完全可控。 如图1,payload: ,显 ...
分类:
其他好文 时间:
2019-03-16 22:04:13
阅读次数:
270
前言:我下载了PHP Study,也按照步骤下载保存了DVWA,之后我又按照百度的准备登陆检查是否正确安装DVWA,于是,我登录了百度上查到的链接:http://localhost/DVWA-master/DVWA-master/,然而,却先后出现了如下问题,第一个没截图,大概是以IIS开头的问题, ...
分类:
其他好文 时间:
2019-03-01 12:20:45
阅读次数:
244
File Inclusion即文件包含漏洞,我们先在C盘一目录下创建一个123.txt,内容为‘hello,world!’ Low Low等级的代码从地址栏接收page参数,并未做出任何过滤 因此直接读取C:/work/123.txt,成功 Medium Medium等级的代码将'http://', ...
分类:
其他好文 时间:
2019-02-17 15:26:58
阅读次数:
169
0x00 前言 在玩dvwa的命令注入漏洞的时候,遇到了没有预料到的错误,执行 发现返回的执行结果如下图 理论上在dvwa的根目录里应该有一个shell.php但是并没有出现 0x01 原因 经几次尝试,发现问题出在 上。将其换成 就可以完成写入shell,但是对 的功能不是很了解,于是在Linux ...
分类:
系统相关 时间:
2019-02-07 23:48:17
阅读次数:
228
