- 博客(9)
- 收藏
- 关注
原创 upload-labs-master通关教程
我们将我们的木马1.php上传显示无法上传,那我们将木马文件格式改为可上传的.jpg,然后抓包,将文件再改回.php即可在放包即可成功我们去访问,输入参数能出现结果即可成功。
2024-09-01 20:36:51 401
原创 vulhub xxe靶机
我们打开小皮面板进入自己网站的根目录,创建一个php文件进行访问,把刚刚解码的php代码复制进去,并加上<?解码完成后放下翻发现有用户名和密码,用户名为administhebest,但是密码是被md5加密的。得到了flag的目录那么我们再次进入到xee目录的界面进行抓包读取。不对,那我们进入xee目录进行抓包并读取文件。把得到的一串代码进行进行base64解码。将得到的代码在进行base64解码。得到了2个地址,我们尝试访问一下。得到了一个登录地址,登录抓包一下。将得到的代码进行base64解码。
2024-08-29 20:18:53 182
原创 xss-labs通关攻略
onfocus事件在元素获得焦点时触发,最常与 、 和 标签一起使用,以上面图片的html标签为例,标签是有输入框的,简单来说,onfocus事件就是当输入框被点击的时候,就会触发myFunction()函数,然后我们再配合javascript伪协议来执行javascript代码。这里我们的on变成了o_n,那我们就换一个标签,我们使用a标签,利用里面的href属性来实现我们的目的。发现还是不成功,查看源码,我们发现我们的被转义了。
2024-08-24 18:26:48 350
原创 Pikachu靶场之XSS漏洞
我们可以看到,我们输入的点击事件还在herf中,我们需要跳出herf,将herf闭合,在点击事件的命令前加一个单引号即可跳出。这时我们从另一个浏览器进入本网站,会发现有弹窗,说明这个js弹窗影响的是所有进入这个网站的用户。说明这时一个点击事件,所以我们要在输入框中输入一个点击事件。输入到这里我们发现无法继续输入了,按F12,查看源代码。我们发现是这里限制了我们的输入,将数值改大一点就可以了。在输入框中随便输入,提交之后我们发现会出现一个点击事件。在表单中我们输入一个弹窗,输入框中随便输入。
2024-08-22 20:52:23 510
原创 SQL注入靶场实战
应为我们不知道他的文件地址,所以我们可以尝试访问一下他的robots.txt,这是一个爬虫文件,可以帮助我们访问到目录。这里我们就得到了网站的绝对路径,那么SQL注入的两个先决条件我们就全部具有了。这里我们得到了一个框,在框中输入数据,有回显,说明这里存在SQL注入。首先找到我们搭建的靶场,这里以172.16.1.88为例。接着我们打开kali,去扫一下文件夹下的文件。还是无法访问,那我们试试上一级文件。这样我们就得到了两个文件地址。我们可以查看我们写入的东西。接下来我们就可以进行连接。
2024-08-19 18:16:31 145
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人