- 博客(3)
- 收藏
- 关注
RSS订阅原创 记一次XXE渗透实战
0x00、XXE是什么?XXE也就是XML外部实体注入攻击。0x01、什么是XML呢?1.XML 指可扩展标记语言(EXtensible Markup Language)2.XML 是一种标记语言,很类似 HTML3.XML 的设计宗旨是传输数据,而非显示数据4.XML 标签没有被预定义。您需要自行定义标签。5.XML 被设计为具有自我描述性。6.XML 是 W3C 的推荐标准0x03、XXE实体注入原理有了XML实体,关键字’SYSTEM’会令XML解析器从URI中读取内容,并允许
2020-09-21 02:46:17
702
6
原创 SQL注入绕过WAF之拿下后台
SQL注入绕过waf其实有很多姿势,比如利用cookie,内联注释,缓冲区溢出,参数污染,%插入等等,本文就讲个简单点利用cookie注入绕过WAF,进而得到后台。1、找到一个有waf的网站2、尝试检测是否存在注入,结果被waf拦截了and 1=13、尝试下order by这里直接order by 10,因为我测试过,知道是10,在不知道的情况下建议从1开始。在order by 11时发生错误,说明当前表有十个输出点4、用联合查询尝试显示输出点union select 1,2,
2020-08-24 17:35:17
368
原创 SQL手工注入之getshell
第一次写文章,内容有些简单,大佬们轻喷。。SQL注入简介所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。SQL注入方式SQL注入有手工注入和工具注入两种方式,本文为手工注入,手工注入可以更好的理解注入原理,从而在使用工具注入时知道工具做了些什么。测试环境可以自行使用虚拟机搭建靶场,安装phpStu
2020-08-18 15:14:54
3004
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人