phpStudy
文章平均质量分 70
nainaisheng
这个作者很懒,什么都没留下…
展开
-
pikachu(下)
Pikachu漏洞练习平台参考笔记(下 十–-十五)十、…/…/目录遍历点击链接,将传的文件换为…/试试,也可将后面的传参换为…/…/发现遍历出了所有的目录,可以查看和下载十一、敏感信息泄露查看源代码,发现登陆账号密码:十二、PHP反序列化serialize:序列化unserialize:反序列化在www目录下编写111.php代码在浏览器输入:127.0.0.1/111.php,查看序列化后代码,查看源代码并赋值输入代码O:1:“S”:1:{s:4:“test”;s:2原创 2021-06-29 15:59:43 · 176 阅读 · 2 评论 -
pikachu(中)
Pikachu漏洞练习平台参考笔记(中)五、RCEExec‘ping’命令执行,可以执行系统的命令Exec ‘eval’代码执行,可以执行代码语句六、File Inclusion(文件包含)File Inclusion(local)本地文件包含随便点击一个人名提交查看原文件先在fileinclude文件夹下新建文档1.txt,看是否可以正确包含将url栏中的file1.php改为…/1.txt,回车后发现可以正常包含显示再新建一个phpinfo.txt,内容为原创 2021-06-24 13:17:52 · 366 阅读 · 0 评论 -
pikachu(上)
Pikachu漏洞练习平台参考笔记(上)一、 暴力破解基于表单的暴力破解已知可登录的账号密码为 admin/123456若已知admin ,登录抓包,设置密码为变量爆破出后将长度进行排序得则admin密码为123456验证码绕过(on server)点击登录抓包,右击发送到Intruder模块还是将密码设为变量得到admin密码为123456返回包中找到了页面显示“login success”,成功爆破到密码验证码绕过(on Client)还是输入原创 2021-06-23 20:27:14 · 1261 阅读 · 0 评论 -
DVWA-master 环境搭建
DVWA-master 环境搭建首先下载安装phpStudy,下载地址 https://www.xp.cn/download.html ;安装完成后点击“开启”;在“其他选项菜单”中,点击phpMy-Admin,输入root root 登录,进入后创建名为dvwa的数据库:开始安装DVWA-master4. 将下载的包放到phpStudy的www目录下...原创 2021-06-18 17:29:24 · 4001 阅读 · 3 评论