- 博客(10)
- 收藏
- 关注
RSS订阅原创 SQL注入漏洞测试(布尔盲注)
1,观察主页下面停机维护通知,点开发现注入点2.使用sqlmap,爆出用户名mozhe,密码md5,解密3.登录平台后台,得到flag环境 :Window工具 :sqlmappythonwindows...
2020-01-26 10:01:25
556
原创 墨者学院-SQL手工注入漏洞测试(Access数据库)
1.判断是否存在注入点 在?id=1的结尾添加and 1=1和 and 1=2检测是否存在注入,结果为正常和错误,经验证存在注入点;2.猜解表名 (因为Access用联合语句显示可显字段时,必须要“from 表名”,所以需要先猜表名。) 在?id=1结尾添加语句:and exists(select * from admin) 若存在表名为admin的表,则页面正常显示。3.猜解列名 ...
2020-01-26 10:00:53
269
原创 墨者学院-SQL手工注入漏洞测试(MySQL数据库)
1:浏览页面,找到有参数的地方2:测试SQL语句3:通过SQL语句中order by N 来判断有几个字段4:通过union select 联合查询,判断显示的是哪些字段5:查询当前数据库的名称、版本6:获得所有数据库名7:获得所有表名8:查询数据库的表中的每个字段名称与类型9:查询数据库的表中数据总数(可理解为有多少行)10:获取表中数据11:得到的密码可能需要经过MD5解密...
2020-01-26 09:59:48
175
原创 墨者学院-表单暴力破解实训(第1题)
1.构造密码字典,已经说了是4位数字,2.用户名是admin,直接跑起来3.密码9717,输入,得到key环境 :Window工具 :Burp Suite
2020-01-26 09:57:36
605
原创 墨者学院-浏览器信息伪造
1.使用burpsuite抓包2.发现user-agent3.右键发送到repeater4.修改user-agent为Mozilla/5.0 (iPhone; CPU iPhoneOS 8_0 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365MicroMessenger/6.0 NetType/2G5....
2020-01-26 09:56:36
253
原创 墨者学院-投票常见漏洞分析溯源
使用burp suite抓包发送到intruder修改user-agent,添加一段手机useragent添加x-forward-forattack
2020-01-26 09:55:19
176
原创 墨者学院-HTML前端代码分析(暗链)
open the link,view the sources 开源固件大会2018将在德国举办 第一届开源固件大会(OSFC)将于2018年9月12日到15日在德国埃朗根市召开,由于长期以来固件都是一个相对封闭的领域,闭源的固件实现曾经一度是业界标准,但随着近年来固件层面的安全威胁的急速增加,即使从已经定稿的NIST SP 800-193的固件合规参考也可以看出除了传统的固件安全问题外,In...
2020-01-26 09:53:13
278
原创 墨者学院-密码学加解密实训(JavaScript分析)
右键点击查看源代码if(x==‘moon’){alert(“恭喜您,答对了,获取Key”)window.open(“2sdfadf.php”,"_self")}else{alert(“别灰心,再试一次!”)}很明显,输入moon就可以得到key工具:firefox环境:windows10...
2020-01-26 09:51:52
118
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人