安装pikachu,复现暴力破解漏洞,演示如何挖掘xss漏洞,如何判断sql注入的流量特征,抓包截图说明,尝试演示远程文件包含漏洞

1.安装pikachu靶场

下载皮卡丘压缩包

https://github.com/zhuifengshaonianhanlu/pikachu

存放在自己搭建的phpstudy\\www目录下

名字有点长,解压后改个名

启动phpstudy

cmd查询自己本机ip地址,访问phpstudy\\www目录下刚解压的pikachu文件夹

修改配置文件

如果修改了配置文件还出现报错情况,需要在url添加/install.php,正确进入安装页面

初始化完即完成配置

2.复现暴力破解漏洞

login前打开bp抓包

找到登录后的包,发送intruder模块

根据自己的选择相应的攻击模式

将两个变量,username,password选中

这里我选择第四个集束炸弹

来到payloads模块

1为第一个选中的变量

下面可以选择添加方式,可以使用密码字典,也可以手动输入,这里为了方便我就手动输入几个用户名

设置2,这里为了方便我也是随便敲了几个密码

右上角点击start attack开始,根据length(长度)来判断正确的账号密码

3.演示如何挖掘xss漏洞

页面上有一个查询框如下

使用<script> alert(/xss/)</script>查看是否弹窗,在输入过程中发现前端限制了输入字符数,只能输入20个字符,f12给他改为200

发现有弹框,说明有XXS漏洞

随便输入一堆字符,查看源码后发现服务器将我们的输入的数据原样返回了

如果没有就说明做了实体编码或者其他操作,xss就没办法了

4、如何判断sql注入的流量特征,抓包截图说明

5、尝试演示远程文件包含漏洞

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值