Vulnerability: File Upload(Medium)--MYSQL注入

最新推荐文章于 2024-05-19 03:18:57 发布
最新推荐文章于 2024-05-19 03:18:57 发布
阅读量344 收藏
点赞数 12
分类专栏: SQL注入 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XiaoYeZhu_1314/article/details/134869809
版权

选择难度:

1.打开DVWA,并登录账户

2.选择模式,这里我们选择 文件上载的中级模式(Medium)

 

准备工作

1.在vsc里面写个一句话木马

 

2.下载BurpSuiteCommunit软件:百度搜索“burp suite官网”     下载地址www.portswigger.net/burp/   

3.打开火狐浏览器,下载扩展“Foxy”

开始获取流量包

1.打开BurpSuiteCommunit软件,把intercept is off 打开,获取流量包

2.打开“Foxy”点击127.0.0.1打开

3.上传“一句话木马.php”,再点击Upload,获取到流量包

4.一建选中,选中send to repeater

5.最后修改值

完成

最后,可能还有不知道这个值是哪里来的,为什么要写这个值?

小野猪都有白菜拱
关注
  • 12
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Nginx-Remote-Integer-Overflow-Vulnerability:CVE-2017-7529
04-13
Nginx远程整数溢出漏洞 CVE-2017-7529
System-Vulnerability:自2019-10-16以来系统突破合集
03-11
系统漏洞 实时更新更好用最新突破EXP,完全已授权渗透测试使用 视窗 Linux
新手指南:DVWA-1.9全级别教程之File Upload
weixin_50464560的博客
03-19 402
目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。 DVWA简介DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是
DVWA通关详解
weixin_45808483的博客
11-19 3461
Vulnerability: Brute Force Security level is currently: low. 分析源码: 没有做身份验证 <?php //检查变量是否设置(先看有没有Login参数) if( isset( $_GET[ 'Login' ] ) ) { //获取密码,存入pass变量中 $user = $_GET[ 'username' ]; //获取密码 $pass = $_GET[ 'password' ]; //将密码使用md5加密 $
【工具-DVWA】DVWA渗透系列一:Brute Force
qqchaozai的专栏
10-17 5322
前言 DVWA安装使用介绍,见:【工具-DVWA】DVWA的安装和使用 本渗透系列包含最新DVWA的14个渗透测试样例: 1.Brute Force(暴力破解)2.Command Injection(命令注入)3.CSRF(跨站请求伪造)4.File Inclusion(文件包含)5.File Uploa...
靶机渗透练习97-hacksudo:ProximaCentauri
hirak0的博客
05-10 2414
靶机描述 靶机地址:https://www.vulnhub.com/entry/hacksudo-proximacentauri,709/ Description Box created by hacksudo team members vishal Waghmare , Soham Deshmukh This box should be easy to medium . This machine was created for the InfoSec Prep Discord Server (http
【Vulnhub 靶场】【Coffee Addicts: 1】【简单-中等】【20210520】
惟忆
11-29 3685
靶场介绍:https://www.vulnhub.com/entry/coffee-addicts-1,699/ 靶场下载:https://download.vulnhub.com/coffeeaddicts/coffeeaddicts.ova 靶场难度:简单 - 中等 发布日期:2021年5月20日 文件大小:1.3 GB 靶场作者:BadByte 靶场描述:打靶耗时:6+小时,整体还算顺畅,唯一卡顿就在找密码上,还有一处误导(不知道算不算)?
DVWA通关--SQL盲注(SQL Injection(Blind))
箭雨镜屋
07-11 1866
LOW 通关步骤 代码分析 MEDIUM 通关步骤 代码分析 HIGH 通关步骤 代码分析 IMPOSSIBLE 代码分析
红队攻击:初始访问
07-12 3917
【红队攻击】文章系列第【3】篇:《初始访问》
2021-02-03dvaw与杂记
探针一号的博客
02-04 248
File Inclusion Vulnerability: Insecure CAPTCHA dvwa不能正常显示,需要在配置文件中加入谷歌的密钥: $_DVWA[ ‘recaptcha_public_key’ ] = ‘6LfX8tQUAAAAAOqhpvS7-b4RQ_9GVQIh48dRMGsD’; $DVWA[ ‘recaptcha_private_key’ ] = '6LfX8tQUAAAAAIR5ddYvRf3zNqM-k__Ux73oZzb’; ...
pentest-bookmarks(2)
weixin_34417814的博客
11-17 1147
Attack Strings: http://code.google.com/p/fuzzdb/ http://www.owasp.org/index.php/Category:OWASP_Fuzzing_Code_Database#tab=Statements Shells: http://sourceforge.net/proj...
Gamja : Web vulnerability scanner-开源
04-24
Gamja将发现XSS(跨站点脚本)和SQL注入弱点,以及URL参数验证错误。 谁知道哪个参数是弱参数? Gamja将有助于发现漏洞[XSS,验证错误,SQL注入]。
trivy-db-to:trivy-db-to是用于将漏洞信息从Trivy DB迁移到其他数据源的转换工具
03-06
$ trivy-db-to mysql://root:[email protected]:3306/mydb Fetching and updating Trivy DB ... 19.35 MiB / 19.35 MiB [--------------------------------------------------] 100.00% 2.58 MiB p/s 8s done ...
CVE-2020-11651:CVE-2020-11651
04-15
CVE-2020-11651 在2019.2.4之前的SaltSalt Salt中发现了一个问题,在3000.2。之前的3000中发现了一个问题。 盐主进程ClearFuncs类无法正确验证方法调用。... [--execute COMMAND] [--upload src dest] [--dow
MYSQL 视图/存储过程/触发器详解
lIujunXHU的博客
05-17 1114
视图(View)是一种虚拟存在的表。视图中的数据并不在数据库中实际存在,行和列数据来自定义视图的查询中使用的表,并且是在使用视图时动态生成的,视图的主要目的是简化复杂的SQL查询,提高数据访问的安全性,以及隐藏数据的复杂性。。通俗的讲,视图只保存了查询的SQL逻辑,不保存查询结果。所以在创建视图的时候,主要的工作就在于创建这条SQL查询语句上。存储过程是事先经过编译并存储在数据库中。
【MySQL精通之路】管理和实用程序
最新发布
Anakki的博客
05-19 170
8 mysql_migrate_keyring——keyring密钥迁移实用程序。2 innocchecksum——离线InnoDB文件校验和实用程序。7 mysql_config_editor——mysql配置工具。9 mysqlbinlog——用于处理二进制日志文件的实用程序。6 myisampack——生成压缩的只读MyISAM表。4 myisamchk——MyISAM表格维护实用程序。5 myisamlog——显示MyISAM日志文件内容。3 myisam_ftdump——显示全文索引信息。
MySQL--增、删、改、查,
weixin_65476290的博客
05-15 941
数据库的概述、发展、现状、历史、分类MySQL关系型数据库、架构(C/S)window系统安装MySQL数据库Linux系统【选学】数据库对象——数据库(database)show、create、drop命令数据库对象——表(table)数据类型数据库表的约束表结构的调整(alter)数据库授权和权限管理(grant)数据库的编码情况【编码一致,建议统一采用utf8mb4】
js遇到需要正则匹配来修改img标签+清除行内样式
阿乐的博客
05-14 323
遇到特殊的情况就是自带样式,那么方法一就不能用了,因为只会算是从原有字符串上面多加字符串。这个正则表达式就是匹配所有的。//踩坑完毕,可以直接使用。第二行代码按自己需要改改。
Vulnerability classifications CWE-16: Configuration CWE-436: Interpretation Conflict CAPEC-63: Cross-Site Scripting (XSS)表示什么
06-09
这段文字列出了三种安全漏洞分类: 1. CWE-16: Configuration,即...3. CAPEC-63: Cross-Site Scripting (XSS),即跨站脚本攻击,指的是攻击者通过在网页中注入恶意脚本来窃取用户信息或执行其他恶意操作的攻击方式。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小野猪都有白菜拱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值