复现暴力破解漏洞

已于 2023-11-20 21:10:40 修改
阅读量195 收藏
点赞数
文章标签: web安全 安全
于 2023-11-20 20:13:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_81256705/article/details/134516861
版权

一:系统介绍
GitHub:https://github.com/zhuifengshaonianhanlu/pikachu

Burt Force(暴力破解漏洞)
XSS(跨站脚本漏洞)
CSRF(跨站请求伪造)
SQL-Inject(SQL注入漏洞)
RCE(远程命令/代码执行)
Files Inclusion(文件包含漏洞)
Unsafe file downloads(不安全的文件下载)
Unsafe file uploads(不安全的文件上传)
Over Permisson(越权漏洞)
…/…/…/(目录遍历)
I can see your ABC(敏感信息泄露)
PHP反序列化漏洞
XXE(XML External Entity attack)
不安全的URL重定向
SSRF(Server-Side Request Forgery)
More…(找找看?..有彩蛋!)

二:暴力破解
第一关

进入暴力破解页面

点击提示,出现3个用户

打开bp进行抓包发送到intruder模块

添加标记并选着极速炸弹

在payload 1里将 刚刚看到的三个用户添加进来

在payload2里我们添加密码字典

开始爆破

发现这个返回包的长度与众不同尝试进行登录

第二关

1.多了一个验证码绕过登录

抓到包后发送到intruder模块进行添加标记选着极速炸弹设

置payload1还是那三个账户,payload 2添加密码字典

开始爆破
在这里插入图片描述
可以看到爆破出了3个密码
在这里插入图片描述

Zhong Xiaojiao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现是什么.txt
01-31
漏洞复现
vulhub漏洞复现 CVE-2016-3088
03-14
vulhub漏洞复现 CVE-2016-3088
漏洞复现的原理和解释.txt
01-31
漏洞复现
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
09-10 849
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
【网络安全】空字节绕过:URL回调+XSS+SQL绕WAF
等风来
09-07 316
经过进一步测试,我发现WAF在解析HTTP请求时,如果发现恶意查询,会导致服务器挂起。如果我连续提交3个请求且服务器挂起,它就会阻止我的IP地址。
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1322
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 923
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
【网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 717
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
【网络安全漏洞挖掘
anquan2233的博客
08-29 1737
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全(黑客技术)—2024自学手册
最新发布
小司机的奥拓
09-10 2335
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-04 1601
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全 day5 --- 反弹SHELL&不回显带外&正反向连接&防火墙出入站&文件下载
2302_81156108的博客
09-07 1659
学习网络安全的一些心得希望对大家起到一些帮助
Web安全与网络安全:SQL漏洞注入
hong161688的博客
09-10 443
Web安全领域,SQL注入漏洞(SQL Injection Vulnerability)是一种极具破坏性的安全威胁。它允许攻击者通过向Web应用程序的输入字段中插入或“注入”恶意的SQL代码片段,从而操纵后台数据库系统,执行未授权的数据库查询,甚至可能获取数据库管理权限,进而对整个系统造成严重的安全损害。本文将从SQL注入的原理、分类、危害及防御策略等方面进行详细阐述。
网络安全-dom破坏结合jq漏洞以及框架漏洞造成的xss-World War 3
m0_68976043的博客
09-10 439
如果notify为真的话那么html是代码解析meme-code的值在页面随便输入一个text=aaaa&img=bbbbb很明显调用到这里因为text和img都存在了而我们可以很明显看到一点Meme Code没值,没值的话那就代表onload根本没有加载,当我们什么都没写的情况下很明显加载值了当我们把地址参数写对的情况下,我们的onload很明显是可以执行的而我们从始至终都没有看到created...,因为notify是false1.绕过过滤框架2.html 逃逸出style标签。
漏洞复现:验证、评估与安全实践的关键步骤
漏洞复现是网络安全领域中至关重要的实践环节,它涉及在特定场景下重现已知的安全漏洞,以便进行验证、评估和修复过程。这个过程对于确保软件或系统的安全性具有重要意义。 首先,漏洞复现的主要目标包括: 1. 验证...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值