记一次菠菜演示代理站点的渗透测试

最新推荐文章于 2024-04-11 01:19:23 发布
最新推荐文章于 2024-04-11 01:19:23 发布
阅读量427 收藏 8
点赞数 7
分类专栏: web渗透经典案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/135524235
版权

逛QQ空间刷到了

图片

于是有了下文。打开站点,很贴心,前台后台都可以进。

图片

图片

下面说漏洞点

  1. sql注入,有一套程序基于某个模板二开,正好我手里有这套模板且审计过。所以轻松拿下。

    图片

    无任何过滤,直接注即可。

    图片

  2. 任意文件上传

    这个我怀疑是开发自己留的后门。

    图片

    看得懂的人一眼就看出来了。直接本地新建表单提交即可。

    但是目标站有个问题,上传不回显路径,应该是注释了echo。本地搭建测试,

    图片

    上传文件名修改为这个格式。

    思路:本地复现upload,然后和远程同时提交,同一个时间点,返回的文件名应该是一样的。

    测试:图片

    复现成功。

    图片

点到为止。

另求教各位精通php审计的大佬

图片

这段代码可否有利用点。

图片

尝试各种截断始终无法执行php代码。

渗透测试中心
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一次杀猪盘的渗透之旅
wulanlin的博客
12-28 2327
所谓“杀猪盘”,是指诈骗分子利用网络交友通常是“异性”交友,诱导受害人下载诈骗APP并在上面进行各种“投资”,如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局,他先是被骗子通过QQ添加并下载了一个名为”心动“的APP,在“心动“APP上结识了位名为“xx老师”的美女,小白被美色迷了眼打算相约这名网友,但是美女则借口让他下载另一个名为午夜乐园的APP进行投资,果不其然小白被成功骗取10余万。 0x01 APP测试准备 根据小白的描述,我们关注到以下几点信息,分别是 QQ、“心动”
菠菜:BDD Style测试跑手
02-04
菠菜:BDD Style测试跑手
一次渗透之旅 ,网络安全学习至上
kali_Ma的博客
01-05 367
所谓“杀猪盘”,是指诈骗分子利用网络交友通常是“异性”交友,诱导受害人下载诈骗APP并在上面进行各种“投资”,如菠菜、股票、期货甚至虚拟货币的网络诈骗。今年某月某日小白就遭遇了这种骗局,他先是被骗子通过QQ添加并下载了一个名为”心动“的APP,在“心动“APP上结识了位名为“xx老师”的美女,小白被美色迷了眼打算相约这名网友,但是美女则借口让他下载另一个名为午夜乐园的APP进行投资,果不其然小白被成功骗取10余万。 0x01 APP测试准备 根据小白的描述,我们关注到以下几点信息,分别是 QQ、“心动”AP
安装 Kali NetHunter (完整版、精简版、非root版)、实战指南、ARM设备武器化指南、andrax、安卓渗透drozer
freeking101的博客
04-11 4401
Kali NetHunter 是基于 Kali Linux 的一个免费开源的移动渗透测试平台,适用于 Android 设备。NetHunter 的3种版本NetHunter Rootless:无需 root,适用于 无 root 设备。NetHunter Lite:精简版,完整的NetHunter软件包,适用于没有自定义内核的root手机。NetHunter:完整版,完整的NetHunter软件包,适用于支持自定义内核的root手机。两个root版本都提供了额外的工具和服务。
网络安全行业名词
怡红群芳的博客
04-07 4026
网络安全行业名词
渗透测试实战---菠菜切入点
渗透测试研究中心
01-08 420
前言本文仅用于交流学习, 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。渗透测试可分为三个阶段信息收集尽可能的收集所有关的资产信息确定测试范围漏洞发现针对收集的资产进行进一步的漏洞检测漏洞利用 针对发现的漏洞进行进一步的利用以及利用的程度1.js中的api接口2.多端口形站点3.客...
drcom 5.2不防代理客户端和菠菜drcom5.2一键破解
10-12
目前可用的drcom通用不防代理客户端和drcom5.2破解补丁,自由分享互联网
文心一言测试指引.zip
06-06
生活知识 冰箱里还剩一颗茄子、两个青椒、几个鸡蛋、一把菠菜,请按照食材给我设计下菜谱,最好是一菜一汤 科技知识 为什么在太阳系中,水星和金星没有卫星? 灵感激发 工作灵感 请帮我写一份关于康师傅牛肉面的推广...
分光光度法测定菠菜中铁的含量
05-25
对分光光度法测定菠菜中铁含量的方法进行改进。根据实验特点,样品经干法消化或湿法消化后,在HAc-NaAc缓冲溶液(pH=5)存在下,以邻二氮菲(Phen)作显色剂,形成的Fe(II)-Phen-Triton三元络合物呈红色内符,络合合朗物伯的-...
一种有机菠菜的无土栽培方法.docx
10-30
一种有机菠菜的无土栽培方法.docx
建筑结构\施工图\B型施工图-建筑-别墅结构施工图.dwg
06-17
建筑结构\施工图\B型施工图-建筑-别墅结构施工图.dwg
tensorflow-2.8.1-cp39-cp39-win-amd64.whl
06-17
python安装
protobuf-3.15.6-cp36-cp36m-macosx_10_9_x86_64.whl
06-17
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
pyzmq-23.0.0-pp39-pypy39_pp73-macosx_10_9_x86_64.whl
最新发布
06-17
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
12V电源平面对DDR4信号的影响-林楷智.pdf
06-17
12V电源平面对DDR4信号的影响_林楷智.pdf
小程序版通过python-CNN训练识别森林还是沙漠区域-含图片数据集.zip
06-17
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本,环境需要自行配置。 或可直接参考下面博文进行环境安装。 https://blog.csdn.net/no_work/article/details/139707566 代码不会运行的也可按上面这个博客来运行。 安装好环境之后, 代码需要依次运行 01数据集文本生成制作.py 02深度学习模型训练.py 和03pyqt_ui界面.py 数据集介绍,下载本资源后,界面如下: 数据集文件夹存放了本次识别的各个类别图片。 本代码对数据集进行了预处理,包括通过在较短边增加灰边,使得图片变为正方形(如果图片原本就是正方形则不会增加灰边),和旋转角度,来扩增增强数据集, 运行01数据集文本制作.py文件,会就读取数据集下每个类别文件中的图片路径和对应的标签 运行02深度学习模型训练.py就会将txt文本中录的训练集和验证集进行读取训练,训练好后会保存模型在本地 训练完成之后会有log日志保存本地,里面录了每个epoch的验证集损失值和准确率。 运行03flask_服务端.py就可
简历模板.zip
06-17
在求职的征途上,一份出色的简历是你通往梦想职位的敲门砖。我们精心准备了一系列面试求职简历模板,旨在帮助你以最佳形象站在潜在雇主面前。这些简历模板不仅设计精美,而且注重内容的清晰呈现,使招聘经理一目了然地看到你的能力和经验。 我们的模板集合了多种风格与布局,无论你是应届毕业生、职场跳槽者还是行业专家,都能在这里找到适合你职业形象的简历设计。每一个模板都经过精心设计,确保你的简历在众多求职者中脱颖而出,同时保持足够的专业度和可读性。 不仅如此,我们的简历模板易于编辑,你可以根据具体职位需求快速调整内容,展现你的个人优势和职业成就。使用这些模板,将大大提高你的面试机会,并帮助你更好地表达自己的价值和潜力。 别让传统且缺乏创意的简历阻碍你迈向成功的道路。立即下载这些精美的简历模板,让你的求职之路更加顺畅,向心仪的工作迈进吧!住,一个良好的开始是成功的一半,而一份精致的简历,正是你成功的起点。
protobuf-3.15.1-cp35-cp35m-manylinux1_x86_64.whl
06-17
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
帮我设计一款0胶0淀粉的全价猫咪罐头
04-01
以下是一款可能的设计方案: 主要食材: - 鸡肉:50% - 鲑鱼:20% - 番茄:10% - 青豆:10% - 胡萝卜:5% - 菠菜:5% 其他成分: - 鱼油:1% - 矿物质和维生素:不超过1% 根据这个配方,我们可以制作出一款0胶0...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值