- 博客(6)
- 收藏
- 关注
RSS订阅原创 【kali虚拟机SqlMap使用】
使用sqlmap -r 123.txt --data=id --batch -D dvwa -T users –dump语句能查看所有users表中内容。(-r参数是指定一个文件–data是指定我们要进行sql注入的参数,–batch意思是选择默认参数)结果如下图所示:已经确定这个注入点。存在6个数据库我们选取dvwa数据库,使用下面的命令列出dvwa库中的表名字。获得user表,再通过下面命令列出dvwa数据库下,users表中的列名。保存为123.txt。使用下面命令列出数据库的库名。
2023-03-14 11:49:07
628
原创 【安恒SQL注入 万能密码实验】
打开目标站点(http://10.225.91.15/),输入用户名密码,查看返回结果。在用户名处输入”admin’ or 1=1 --”,输入任意密码(表单成功绕过,登陆成功。
2023-03-14 09:31:07
248
原创 【零基础DVWA安装教程】
下面提示我们需要on开起来,但这里有个问题,大多数人找的是 \DWVA-master\目录下的php.ini文件这个文件。这个是不对的哦,这里已经On了,直接在根的上一级搜就好了,注意看路径,是php版本号的文件夹。user与password一定要修改为root ,这里能看到我们呢的key没有了,之后的实验可能要用到,我们需要补全,要不然稍后会有一个missing报错,且相关的一些实验没法启动,修改后保存。下载好之后直接无脑安装(当然选盘是没问题的啦),按照好之后来测试一下是否成功。修改保存再次登录看看。
2023-03-11 19:14:40
186
原创 【用一句话木马文件上传漏洞挖掘实战】
6.使用AntSword(中国蚁剑)管理工具连接一句话,注意连接密码就是一句话里的值。5.成功将一句话木马作为头像上传,右键点击查看图像,可以拿到图片路径。3.点击上传头像,将一句话木马改为图片形式上传,并开启bp抓包。4.在抓包代码中将".jpg"改为".php",返回抓包结果。#用一句话木马文件上传漏洞挖掘实战。1.点击新用户注册,注册一个用户。2.注册成功后点击我的个人资料。打开火狐浏览器,访问目标地址。
2023-03-03 10:32:46
1001
原创 将BP中证书添加到浏览器,使得访问https网站不产生告警
事实上burpsuite不会真向公网访问http://burp/这么一个页面,公网上也并不存在这么一个页面,而是burpsuite监视到访问http://burp/后会自动重定向到自己内置的证书下载页面。http和https是分开的,对http使用了代理并不代表对https也使用了代理,要配置浏览器让其对https也使用同样的代理。配置完成后访问http的网站可以发现成功访问,但访问https的网站一般不可访问,报错如下。###2.访问http://burp/下载burpsuite ca证书。
2023-02-28 11:49:17
410
原创 JAVA环境配置
其实之前我是从来都没有配置过 ClassPath 的,感觉也没什么影响,这一步做了肯定比没做好,但是为什么要配置 ClassPath?如果电脑桌面没有我的电脑,可以创建一个文件夹,点进去就能看到,或者使用 dos 命名 :win + R 再输入 cmd 回车。打开命令窗口 输入explorer 回车,就会弹出文件资源管理器的窗口,优雅的找到 我的电脑(此电脑)同时还需要添加 Path 的 配置,选择 Path ,点击 编辑 ,可能会看到两种情况。配置:%Java_Home%\bin;
2023-02-28 11:31:16
336
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人