web漏洞练习平台ZVulDrill

最新推荐文章于 2023-03-17 12:50:49 发布
最新推荐文章于 2023-03-17 12:50:49 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: SQL注入 文章标签: 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AmyBaby00/article/details/102465942
版权
本文介绍了网络安全学习平台ZVulDrill中的三种常见漏洞:SQL注入、XSS和文件上传,并提供了漏洞验证思路及修复建议。通过实例展示了如何利用SQL注入泄露数据库信息,XSS攻击进行恶意操作,以及文件上传漏洞带来的安全隐患。修复措施包括参数编码、输入过滤和文件类型限制等。
摘要由CSDN通过智能技术生成

网络安全学习笔记,仅限学习交流
不得利用、从事危害国家或人民安全、荣誉和利益等活动

URL:http://127.0.0.1/zv/

在这里插入图片描述

1、SQL注入

在这里插入图片描述
输入1’ 报错
说明’ 单引号闭合,存在sql注入漏洞

在这里插入图片描述
构造sql语句,最终爆出数据库

验证思路:
SQL注入,使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

修复建议:屏蔽SQL语句内容,对参数做编码和过滤,防止SQL语句执行。或限制输入长度等。

2、XSS
输入XSS语句
弹窗,说明存在XSS漏洞
在这里插入图片描述

验证思路: 在空框处,输入XSS语句,执行了XSS语句出现弹窗,说明存在XSS漏洞。
XSS可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行

最低0.47元/天 解锁文章
怡昂YANG
关注
专栏目录
ZVulDrill通关教程
玄道的网安博客
05-05 2501
创建zvuldrill数据库,然后把ZVulDrill/sys/zvuldrill.sql上传进去执行 修改sys/config.php的数据库账号密码 看到页面了 首先是搜索框这里有sql注入,给个单引号爆出错误 直接查询即可x' union select 1,database(),user(),4-- - 看看源码,这里是没有任何过滤就拿去查询了 当然还有个...
Web 漏洞训练平台学习笔记(webgoat & juice shop)
weixin_51194266的博客
05-11 1054
WebGoat学习笔记 实验目的 了解常见 Web 漏洞训练平台; 了解 常见 Web 漏洞的基本原理; 掌握 OWASP Top 10 及常见 Web 高危漏洞漏洞检测、漏洞利用和漏洞修复方法; 实验环境 WebGoat kali 2021.2 实验要求 每个实验环境完成不少于 5 种不同漏洞类型的漏洞利用练习 (可选)使用不同于官方教程中的漏洞利用方法完成目标漏洞利用练习 (可选)最大化 漏洞利用效果实验 (可选)定位缺陷代码 (可选)尝试从源代码层面修复漏洞 WebGoat环境
漏洞练习平台
weixin_43543330的博客
10-09 575
WebGoat漏洞练习平台: https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台: https://github.com/710leo/ZVulDrill vulapps漏洞练习平台: https://github.com/Medicean/VulApps dvwa漏洞练习平台: https://github.com/RandomS
ZVulDrill靶场漏洞分析(简单的代码审计学习)
来到了学渣的博客
04-20 1419
装了一个小靶场来进行简单的代码审计学习 搜索框sql注入 代码分析 if (!empty($_GET['search'])) { $query = "SELECT * FROM comment WHERE comment_text LIKE '%{$_GET['search']}%'"; $data = mysqli_query($dbc,$query); 该语句没有任何防护,典型的搜...
metasploit 魔鬼训练营 学习笔记(2) 第四章(web一些漏洞与防止)
ClintSeven的博客
04-12 346
metasploit 第四章开头以及之前学过的总结
漏洞及渗透练习平台
迷风小白
03-28 3866
漏洞及渗透练习平台WebGoat漏洞练习环境 https://github.com/WebGoat/WebGoat https://github.com/WebGoat/WebGoat-Legacy Damn Vulnerable Web Application(漏洞练习平台) https://github.com/RandomStorm/DVWA 数据库注入练习平台 https://gi...
DoraBox 漏洞练习平台WriteUP.pdf
04-14
DoraBox 漏洞练习平台 WriteUP与总结。SQLi 数字型,数字型注入拼接语句一般为 select * from <表名> where id = x x=x' ,程序报错。 x=x and 1=1 时,语句逻辑为真,返回正常结果。 x=x and 1=2 时,语句逻辑为...
Pikachu漏洞练习平台实验——基于表单暴力破解
weixin_51940324的博客
05-02 1866
Pikachu漏洞练习平台实验——暴力破解(一) 基于表单的暴力破解 通过burpsuite拦截可以看到账号密码明文传输 发送到intruder进行暴力破解 把需要的参数加上$ 不需要则删除即可 设置payload我的是使用自己的文件进行爆破 把username or password is not exists~复制到Grep Match中。后面可以利用Grep Match区分哪些请求里面有这个字符串 可以开始攻击了,匹配到username or password .
web漏洞挖掘快速入门1
08-08
3. 通过 zmpap 全网爆破查询真实 ip(可靠) 4. 子域名爆破,现在越来越不靠谱了 5. 通过扫描出网站测试文件如 phpinfo,test 等配置文
Web中间件常见漏洞总结.pdf
06-14
中间件的安全问题常常成为黑客攻击的目标,因此深入理解和掌握Web中间件常见漏洞的知识对于网络安全防护至关重要。下面,我们将围绕文档提及的IIS中间件,总结其常见漏洞类型及修复建议。 1. IIS解析漏洞 IIS解析...
ZVuldrill 黑客靶场 附带安装教程
01-26
平台中有10个挑战,包含的漏洞有: ·SQL注入 ·储存型和反射型XSS ·CSRF ·文件包含 ·后台弱口令 ·文件上传 ·目录遍历 ·权限跨越
黑客靶场之ZVuldrill 附带安装教程
12-14
黑客靶场之ZVuldrill 附带安装教程 基于本地的渗透测试环境 提高自己对网络攻防的基本认识和增加自己的动手能力。基础环境是基于PHP/mysql制作搭建而成,中级环境与高级环境分别都是由互联网漏洞事件而收集的漏洞存在的操作环境。
DVMA-渗透测试漏洞练习平台
12-02
DVMA-渗透测试漏洞练习平台, 其中内含XSS、SQL注入、文件上传、文件包含、CSRF和暴力破解等各个难度的测试环境
kali安装docker搭建webgoat漏洞练习平台
weixin_43434318的博客
07-12 2190
kali安装docker搭建webgoat漏洞练习平台,常见新手docker使用命令
Web漏洞练习靶场推荐——LKWA Docker版本
微风飘呀飘
05-31 3474
最近在发现了一个不错的Web漏洞练习靶场——LKWA 它包含了八种Web漏洞: Blind RCE XSSI PHP Object Injection PHP Object Injection via Cookies PHP Object Injection (Object Reference) PHAR Deserialization SSRF Variables variable 项目地址: https://github.com/weev3/LKWA 部署方法: # Clon
网安学习——web漏洞(上)
haoaaao的博客
02-13 2800
????????笔记来源????:11.WEB漏洞——SQL注入之必懂知识点 · 语雀 (这个博主笔记写的太详细了,看他的比看我自己的还有用,借用方便日后复习) 一、web漏洞必懂知识点 1、常见web漏洞的危害⚠️ (1)、sql注入 (2)、xss (3)、xxe???? (4)、文件上传 (5)、文件包含 (6)、文件读取 (7)、csrf(用户请求伪造) ...
ubuntu14.04下安装zvuldrill
前方gail的博客
04-10 1366
在学习和研究web漏洞的过程中对每一种漏洞都进行了测试,将其整理到了一块儿,于是有了一个简单的Web漏洞演练平台ZVulDrill,各位安全测试人员可以亲身实践如何利用这个漏洞,同时也可以学习到漏洞的相关知识。系统版本: ubuntu14.04安装zvuldrill之前,需要现在系统上安装PHP环境安装PHP环境sudo apt-get install apache2(安装apache2) su
ZVulDrill靶场审计
最新发布
RestoreJustice的博客
03-17 719
由于我这里的环境问题,需要更改lib.php中mysql_real_escape_string函数为mysql_escape_string函数。这里提交留言到数据库的时候,会通过clean_input函数转义特殊符号但没有对相关字符进行过滤处理,被污染的数据会原样提交到数据库中。这里存在SQL注入的是管理员登录的后台地址,普通用户的登录的地方输入变量被clean_input函数转义了特使符号。这里自动审计出来的几处可能存在SQL注入的地方其实是被引号包裹了而且经过了clean_input函数的过滤。
ZVulDrill练习——XSS注入
AmyBaby00的博客
09-05 852
9-5 ZVulDrill练习 ” <script>alert(hello world)</script> 'οnclick='alert(66) "> 弹窗内容:cookie
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值