首先选择难度,我们从low开始,如上图所示进行修改
- brute force 爆弱口令
burp抓包
发送intruder模块
开始爆破
爆破成功
2.Command Injection命令注入
这主要是固定ping 一个ip 后面管道符连接注入其他命令
3.csrf
首先输入新密码,抓包
生成链接浏览器点击验证
登陆成功
4.File Inclusion
没做任何限制,直接在page输入文件名即可读取
5.file upload
直接传没有限制
6.sql Injection
order by2个字段...
7.sql injestion blind
布尔盲注,单引号成功报错...盲注length substr ascii
8.Weak Session IDs
sessid固定,session可控