- 博客(7)
- 收藏
- 关注
RSS订阅原创 渗透文章分享
PHP thinkPHP think3PHP think3常见的开发漏洞:原文章1 where后直接直接拼接会产生注入$data = M(‘user’)->where(“id=”.I(‘id’))->select();2 table表名函数可控产生注入M()->table(I(‘biao’))->where(‘1=1’)->select();table ?biao=thinkphp_user where 1=1 and 1=(extractvalue(1, co
2021-12-05 15:41:19
207
原创 burp suite-->User options-->Connections模块
Platform Authentication设置允许您配置Burp platform authentication(平台自动)验证到目标Web服务器。不同的认证方式和认证可以配置为单个主机。支持的认证类型有:Basic(基本的),NTLMv1,NTLMv2身份验证和摘要验证。域和主机名信息仅用于NTLM身份验证。在“Prompt for credentials on platform authentication failure(提示平台上认证失败凭据)”选项会导致Burp显示交互式弹出每当身份验证
2021-11-21 15:14:46
1140
1
原创 DVWA大详解
Brute Force(暴力破解)这一关就是要用暴力破解我们随便输入账户密码,用burp抓包右键点击send to intruder发送到爆破模块开始爆破。选择positions然后经过下图一系列的设置选择payloads,点击load添加自己的字典更换为payloads2后继续选择自己的字典最后点击start attack开始爆破。这里长度不一样,爆破成功,尝试登录登录成功Vulnerability: Command Injection(命令注入)命令注入攻击的目的是注入和执行攻击者在易受攻击
2021-11-20 17:56:51
5768
1
原创 乌云逻辑漏洞分析
酷我音乐会员0.01元购买成功存在支付逻辑漏洞在充值酷我音乐会员时,本来时10元一个月的,但是可以通过抓包获取其数据包,通过改变其数据包的内容达到修改金额的目的下面是当时漏洞的截图其实这类的支付漏洞有很多,就是攻击者通过修改交易金额,交易数量等利用漏洞,如用burp修改金额,数量为负数或者无穷大。12306账户安全逻辑错误导致可能会被永久盗号无法找回12306开通手机核验之后,手机号码允许作为帐号登录。手机号码重新核验的时候,可以修改号码,但无需原号码校验。这可能导致未经许可的直接修改手机号码。在
2021-11-14 14:06:17
530
原创 upload-labs大详解
第一关 前端JS绕过上传一个php一句话文件(记得改成php格式) 发现不允许上传php类型的,只能上传jpg,gif,pngl的我们打算用burp抓包,先上传jpg的,然后用burp改成php的。放包后,打开upload文件夹查看上传成功。第二关 MIME-TYPE验证绕过我们尝试用第一个的方法,发现还是可以直接上传成功,但是这里还有第二种方法。直接上传php格式的文件,用burp抓包。更改这里的值。上传php文件时,Content-Type的值是application/octet
2021-11-03 20:28:34
15557
2
原创 xsslibs大详解
level1我没问查看发现,他提交了一个name参数,并且值为test,长度为4.我们直接在name参数插入代码测试:<script>alert(1)</script>我们查看一下源码echo "<h2 align=center>欢迎用户".$str."</h2>";这里没有过滤直接输出接收到的字符串,那么用户恶意输入,当然也会执行,所以构成了xss漏洞。level2我们直接插入代码试试<script>aler...
2021-10-31 15:59:40
829
1
原创 sqli-labs大详解
Less-1 GET - Error based - Single quotes - String(基于错误的GET单引号字符型注入)首先输入参数?id=1,这时页面正常显示,并不报错。这时我们输入?id=1‘时出现报错,可以判断它是单引号注入常规注入,判断字段数,当我们order by10时,发生错误,然后我们用二分法判断有几个字段(向上取整)。当我们到order by 3 时没有报错,这时候我们试试order by 4,发现报错,说明只有三个字段。然后我们看回显...
2021-10-19 14:00:37
6553
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人