- 博客(3)
- 收藏
- 关注
RSS订阅原创 BUU CTF [GXYCTF2019]Ping Ping Ping 1
BUU CTF [GXYCTF2019]Ping Ping Ping 1打开题目,页面显示/?ip= 应该是一个传参的提示。结合题目的ping。尝试?ip=11.看到ip很明显传一个Ip看看作为菜鸟,我根据自己的判断认为通过Ip传输方式认为是linux所以我们可以在这里输入linux命令常用的就是ls2.我们看到两个文件,完了进行访问,但是发现flag.php访问不了,大概是说有空格,判断目标网站是对空格进行了过滤,我们可以使用一些方法代替空格来起到分割作用注:%20(space)、%09(t
2021-01-26 16:51:54
489
1
原创 SQL注入学习
SQL注入学习SQL注入基本概念SQL 注入是一种将 SQL 代码插入或添加到应用(用户)的输入参数中,之后再将这些参数传递给后台的 SQL 服务器加以解析并执行的攻击。攻击者能够修改 SQL 语句,该进程将与执行命令的组件(如数据库服务器、应用服务器或 WEB 服务器)拥有相同的权限。如果 WEB 应用开发人员无法确保在将从 WEB 表单、cookie、输入参数等收到的值传递给 SQL 查询(该查询在数据库服务器上执行)之前已经对其进行过验证,通常就会出现 SQL 注入漏洞。注入常见参数
2020-11-17 15:40:13
168
1
原创 XXE漏洞学习
XXE(外部实体注入攻击)**一,XXE是什么简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。*例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。二,XML的基础知识要了解xxe首先要了解xml定义XML是用于 标记电子文件 使其具有 结构性 的标记语言,可以用来标记数据、定义数据类型,是一种
2020-11-09 20:24:27
206
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人