YYYYYcici的博客

原创 dvwa搭建常见问题解决方法

dvwa配置出现的问题 很长时间没有玩，今天准备玩一玩出现了点问题，记录一下。 1>PHP function allow_url_include:Disabled 2>数据库连接不上 问题一 出现这个问题解决得方法是找到配置文件里面 allow_url_include=Off 改为 allow_url_include=on 进入到根目录，找到php.ini ...

原创 文件上传upload-labs(1-10)

打卡第三天 今天复习了下文件上传漏洞，之前就看视频做题目，有段时间不做就忘记了… PASS-01（前端js验证） 关闭插件（禁用script switch-----js disabled） 上传木马,蚁剑连入 PASS-02（进行了MIME类型检测） 根据提示，上传1.php失败（提示文件类型不正确） 上传木马，抓包，改包content-type：image/gif 蚁剑连入 PASS-03（...

原创 burp suit的使用--proxy

打卡第二天 今天有点事情，晚上十二点多才更一篇。。。 截获代理——审查修改浏览器和目标应用间的流量 通过以恶意的方式修改浏览器的请求，Burp 代理可以用来进行攻击，如：SQL 注入，cookie 欺骗，提升权限，会话劫持，目录遍历，缓冲区溢出。拦截的传输可以被修改成原始文本，也可以是包含参数或者消息头的表格，也可以十六进制形式，甚至可以操纵二进制形式的数据。 操作步骤： 1、开启代理 2、pro...

原创 XSS的学习（一）

打卡第一天 关于xss的学习 XSS常用语句 < script>alert(1)</ script> < img src=x οnerrοr=alert(1)> < svg οnlοad=alert(1)> < a href=javascript:alert(1)> leve2 闭合前面的标签 ">< script>al...

原创 起航了！

原创 MSTP生成树实例练习

配置四台pc的IP（不同网段）、子网掩码、网关 10.0.1.2 255.255.255.0 10.0.1.1 10.0.2.2 255.255.255.0 10.0.2.1 10.0.3.2 255.255.255.0 10.0.3.1 10.0.4.2 255.255.255.0 10.0.4.1 中间层两台交换机命令如下（例：左） vlan 10 vla...

原创 墨者--SQL手工注入漏洞测试(MySQL数据库)

墨者–SQL手工注入漏洞测试(MySQL数据库) 解题思路： 判断注入 利用order by 判断字段数量 联合注入 1、判断注入 2、order by判断 3、联合注入 查库名 and 1=2 union select 1,table_name,3,4 from information_schema.tables where table_schema=”库名” and 1=2 un...

原创 墨者学院--SQL手工注入漏洞测试(Access数据库)

墨者学院–SQL手工注入漏洞测试(Access数据库) 靶场连接： 解题思路： 判断是否存在sql注入 利用order by判断字段数量 联合注入猜测表名 联合注入猜测列名 登陆，拿KEY 打开题目,页面如下所示 一、 点击蓝色划线区域，跳转下一正常页面（跳转页面出现id=1） 二、判断存在注入（/ 、-0 、 and 1=1） 三、判断字段数量（order by...

原创 html精简总结

html精简总结 第一部分 标准属性 新建html网页 打开后基本框架，如下图 <!doctype html > 指定文档类型（可有可无，在网页查看源代码时自动出现） < html> 全文只有一对，为主体，子标签写在内部 < head> 配置属性 < meta > 用来在http协议的响应头报文（属性：name、charset。略复杂，省） &...