- 博客(4)
- 收藏
- 关注
RSS订阅原创 文件上传漏洞
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。ctfshow151提示说前台检验不可靠,可以判断是前端验证,这里上传一张png图片显示可以上传,我们再尝试上传一个带有后门代码的php文件,会显示不能上传。
2024-06-02 18:25:30
822
原创 SQL注入
既然得到了数据库,我们再找数据库中的表:and 1=2 union select 1,table_name,3,4 from information_schema.tables where table_schema='mozhe_Discuz_StormGroup'当然了,这是手工注入的过程,我们还可以使用工具sqlmap,使用sqlmap的时候需要到python下运行,比较常用的语法:python sqlmap.py -u "url",具体的可以去看看sqlmap手册。回显正确,那么就是有4个长度。
2024-05-26 12:11:39
237
原创 盲注-布尔注入
猜第一个字符:and ascii(substr((select column_name from information_schema.columns where table_name= 'member' limit 0,1),1,1))=110------n 回显正常。
2024-05-25 15:35:53
1237
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人