- 博客(12)
- 收藏
- 关注
RSS订阅原创 BUUCTF-Web-[MRCTF2020]你传你马呢
3.考虑是不是对php进行过滤,尝试黑名单绕过,将文件后缀修改为.phtml等一些后缀名发现上传失败。4.将文件类型修改为.jpg类型尝试上传并启用burpsuite抓包发现是可以成功上传的。一个.htaccess文件去把.jpg解析成.php。把content-type改成image/jpeg。1.打开题目发现文件上传位置,猜测为文件上传漏洞。7.拼接url使用蚁剑连接,成功找到flag。2.尝试上传一句话木马,上传失败。
2023-04-03 10:04:00
507
2
原创 BUUCTF-Web-[ACTF2020新生赛]Upload
4.打开burpsuite进行抓包,修改为php文件类型并将数据包发送回去,发现上传失败。5. 考虑是不是网站对php后缀进行过滤,采取黑名单绕过修改文件后缀为.phtml,上传成功。3.将文件后缀名修改为.jpg类型上传文件,上传成功。(但此时文件有错木马无法连接)1.打开题目在小灯泡那发现了文件上传,因此猜测存在文件上传漏洞。2.尝试上传一句话木马,上传失败仅允许上传弹窗提示的文件类型。7.连接成功并找到flag。6.使用蚁剑进行连接。
2023-03-27 08:55:19
387
原创 docker-compose安装成功但命令无法执行(没有报错)
由于docker和docker-compose时间太久,不记得当时是如何下载的,但是在进行漏洞复现时发现docker-compose无法成功启动(命令执行无报错),目录不存在。但是为什么docker-compose已经成功下载但是找不到文件呢,通过图片可以发现下载的docker-compose与系统使用时调用的目录不同。因此我们可以将当前下载成功的docker-compose(python文件)移动到系统调用的路径(/usr/local/bin)就可以成功启动了。找到自己想要移动的文件夹右键即可。
2023-03-19 21:08:26
1846
原创 ubuntu使用pip下载提示“You are using pip version 8.1.1, however version 23.0.1 is available.”
在使用pip下载时提示You are using pip version 8.1.1, however version 23.0.1 is available.You should consider upgrading via the 'pip install --upgrade pip' command.
2023-03-19 16:12:55
818
1
原创 ubtunb虚拟机使用docker搭建dvwa环境
在官方仓库中查找dvwa镜像。访问dvwa(ip:80)下载镜像到本地(有点慢)查看电脑中已经运行的容器。
2023-03-17 10:59:54
78
原创 phpstudy成功搭建sqli-labs环境但无法正常进行sql注入测试
我们知道这个注入类型为字符型注入,经过一系列检查'也是英文状态下的,没有任何问题,所以是为什么呢?在经过尝试后发现是php版本的原因,我发现我使用的版本为php5.2,需要将php版本改为5.3。2.点击网站-管理-php版本修改为php5.3。点击Setup自动创建数据库,出现如下界面。4.根据页面提示将id作为变量进行传参。根据页面提示将id作为变量进行传参。1.在软件管理下载php5.3。之后便可以正常进行sql注入了。5.尝试'注入发现页面无反应。开始less-1的练习。
2023-02-14 21:26:05
51
原创 DVWA文件上传漏洞
(1)通过$_FILES预定义变量获取上传文件的文件名(name)、文件类型(type)和文件大小(size)这是三个数据分别赋给三个变量$uploaded_name、$uploaded_type、$uploaded_size。(3)因此,medium级别主要是判断文件的类别和大小,代码中对于文件大小的限制一般文件都可以满足要求,因此主要分析文件上传的类型。(8)综上,low级别对上传的文件类型没有任何防范,其初衷是想要用户只能上传图片,而现在可以上传php文件,而且能够被网站解析。
2023-02-05 20:00:16
347
原创 sql的两种注入方式(“BUUCTF-N1BOOK”-[第一章 web入门]SQL注入-1)
通过解决具体题目(“BUUCTF-N1BOOK”-[第一章 web入门]SQL注入-1)在网站进行手工SQL注入和创建kali虚拟机环境来进行sqlmap自动注入两种注入方式来学习SQL注入工作原理,能够掌握简单的SQL注入方法。开始注入,用order by 判断列数。查找具体字段数据,得到flag。查找fl4g的列名。判断是否存在注入点。
2023-02-04 22:36:15
213
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人