信息安全
Gond19
这个作者很懒,什么都没留下…
展开
-
“百度杯”CTF比赛 九月场 SQLi 解题思路
题目简介题目名称:SQLi题目内容:后台有获取flag的线索解题思路打开地址使用burp抓包发现“l0gin.php?id=1”。打开“l0gin.php?id=1”地址使用1’ and ‘1’=‘1(成功)和1’ and ‘1’='2(不成功),说明此处存在sql注入。测试中发现后台过滤了逗号,在这里使用from for代替逗号。开始注入猜测数据库名称猜测数据库名...原创 2019-10-15 18:36:29 · 1153 阅读 · 0 评论 -
bWAPP中利用反射型xss获取cookie
实验环境介绍靶机:bWAPPbug类型:XSS - Reflected (GET)难度级别:low过程:注:部分浏览器默认开启了XSS防御,关闭后才能实验成功。测试靶机(图中的web server)是否存在XSS攻击。URL地址:“http://192.168.248.174/dvwa/bWAPP/xss_get.php”输入js代码<script>alert(1...原创 2019-09-10 14:46:57 · 553 阅读 · 0 评论