- 博客(4)
- 收藏
- 关注
RSS订阅原创 xxe/xml注入 part1
漏洞原理XML 被设计为传输和存储数据,XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从 HTML 分离,是独立于软件和硬件的信息传输工具。XXE 漏洞全称XML External Entity Injection,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XML和HTML差异XML 被设计为传输和存储数据
2022-05-21 11:20:10
102
原创 pwn the box 管理员本地访问
管理员本地访问题目信息 本地访问BP抓包请求头加上client-ip: 127.0.0.1 或 X-Forwarded-For: 127.0.0.1X-Forwarded-For 是一个 HTTP 扩展头部,用来表示 HTTP 请求端真实 IP
2022-05-17 21:29:37
114
原创 pwn the box Exec1
Exec1题目页面BP抓包%0als绕过 注:%0a换行符 ls linux列出目录下所有文件url+/pwnthebox即可得到
2022-05-17 21:24:29
118
原创 简单手工SQL注入过程
判断是否过滤1’ or 1=1#1’ and 1=2# 判断列数1’ order by 1,2,3#查看显位点-1’ union select 1,2,3,4#爆库名-1’ union select 1,2,3,database()#爆表名-1’ union select 1,2,3,group_concat(table_name) from information_schema.tables where table_schema=‘库名’#爆列名-1’ union select 1
2022-05-17 21:15:56
225
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人