【小迪安全】Day4基础入门-web源码拓展

已于 2022-10-19 11:22:44 修改
阅读量255 收藏
点赞数
文章标签: web安全
于 2022-10-16 00:36:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44312640/article/details/127343028
版权

文章目录

Web源码扩展-如何拿到网站源码

搭建测试网站

​ 利用IIS搭建测试网站,具体过程不再赘述,效果如图,可参考:https://blog.csdn.net/qq_44312640/article/details/127294081?spm=1001.2014.3001.5501

多种方式尝试获取源码

  1. 直接观察网站页面,可观察到如下较为明显的字眼,到源码网站上搜索拿到源码

  1. 故意访问错误链接,看是否能够得到一些信息,本次未获得有效信息

  2. 通过访问时的特殊链接借用搜索引擎查询看是否能得到有效信息,到处点了一下,未发现有特殊命名的链接

  3. 通过CMS指纹库识别,可以自己收集字典写脚本也可以使用在线网站识别,如http://whatweb.bugscaner.com/,http://finger.tidesec.com/,由于本地搭建的测试网站,因此不能使用在线工具扫描,直接下载脚本源码本地运行,https://github.com/TideSec/TideFinger,结果是没有找到,指纹库不够全

通过源码获取管理员账号密码

  • 拿到源码后分析目录结构,大致如下

  • 根据目录名字找一下数据库,找不到就搜索关键字看一下

  • 确认路径后通过IP地址/路径下载到数据库文件,修改.asa格式文件为.mdb格式文件,使用Access软件打开查看,找到管理员账号密码,Access软件下载地址:https://www.rjctx.com/242.html

  • MD5解密密码,https://www.tool.cab/decrypt/md5.html

  • 登录网站验证

  • 提示错误,这是因为刚刚拿到的是后台管理的密码,此处是正常用户的密码,应该是下面这个表

  • 尝试解密登录,https://www.sojson.com/encrypt_md5.html

  • 使用御剑后台扫描工具扫描后台管理员登录url链接,扫描工具链接:https://www.fujieace.com/hacker/tools/yujian.html

  • 扫描工具没扫到有用的东西,直接看目录结构

  • 尝试用刚才得到的账号密码登录,登录成功

测试一下购买逻辑是否存在漏洞

  • 正常购买订单页面

  • 利用Burp抓包修改数量为-1测试

  • 数量负数没发现漏洞,修改为0有漏洞

  • 余额不足,修改数据库继续测试

  • 继续测试

  • 可以看到订单已经提交成功,但是数量是0,好像没啥用,亏了个快递费

楓椛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
微信小程序学习day1-30源码
04-23
适用人群:本源码是学习微信小程序day1-30的源码,需要具备一定前端编程基础。以及想要复习或者自学微信小程序的小伙伴。开启新的征程,记录最美好的时刻,每天进步一点点。 能学到什么:1、微信小程序基础知识;2、...
安全第四天
zhong_yan的博客
10-22 188
1, 关于WEB 源码目录结构 了解数据库配置文件,后台目录,模版目录,数据库目录等 index.php通过文件后缀判定(判定为php语言) admin:网站后台路径(后台操作的地方) data:数据相关目录(处理数据用的) install:安装目录 member:会员目录 template:模板文件目录(和网站相关的整体架构) data => confing.php 数据库配置文件,网站和数据库的通讯信息,连接账号密码,可以去连接对方数据库,从数据库去得到这个网站的源码里面...
高级软件人才培训专家-day04-SpringBootWeb入门
03-10
根据给定的文件信息,我们可以总结出以下几个关键知识点: ...以上内容涵盖了 SpringBootWeb 入门的核心知识点,包括 SpringBoot 的基本概念、快速入门案例以及 HTTP 协议的基础知识,为初学者提供了全面的学习指南。
Python入门——小甲鱼Day3( 列表基础 )
01-20
4.列表切片 5.列表常规操作 6.列表内置函数 7.拷贝与赋值 0.列表分类 普通列表:menber = [ ‘小甲鱼’,‘小布丁’] 混合列表:member = [‘小甲鱼’,520,3.14159,[1,2,3]] 空列表: member = [ ] 1.列表中...
0DAY 软件查询小偷 -ASP源码.zip
12-13
【标题】"0DAY 软件查询小偷 - ASP源码.zip" 是一个包含ASP源代码的压缩文件,主要用于软件查询功能。"0DAY"通常指的是那些在正式发布前被泄露或非法分发的软件,这里的“软件查询小偷”可能是指一个能够查找和获取...
20151228-Android基础视频day07-day11源码
11-09
总的来说,这个系列的源码涵盖了Android开发的入门阶段,包括环境配置、基本组件的使用、UI设计、组件间的通信以及数据存储。通过这些基础知识的学习,开发者可以具备创建简单Android应用的能力,并为进一步深入学习...
《“微软蓝屏”敲响警钟:网络安全与系统稳定何去何从》
2302_77186925的博客
07-24 1683
“微软蓝屏”事件暴露了网络安全哪些问题
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 1044
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
非科班出身的你,如何转行web安全工程师?零基础入门到精通,收藏这一篇就够了
Python_paipai的博客
07-29 284
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。那么,转行web安全工程师,你需要掌握哪些技能呢?对web安全工程师很感兴趣。对现在的工作没有热情。
“微软蓝屏“事件暴露了网络安全哪些问题?
程序员-张师傅
07-23 913
微软蓝屏事件,尤其是2024年7月19日发生的全球性Windows系统崩溃事件,带来了多方面的深刻教训。
网络安全自学从入门到精通的制胜攻略!!!
2301_77160226的博客
07-27 180
在信息时代,网络安全已成为至关重要的领域。越来越多的人希望通过自学掌握这门技术,开启充满挑战与机遇的职业道路。
网络安全相关竞赛比赛
黑战士的博客
07-18 1170
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
2024春秋杯网络安全联赛夏季赛Crypto(AK)解题思路及用到的软件
符啸九天的博客
07-22 1102
2024春秋杯网络安全联赛夏季赛Crypto解题思路以及用到的软件1.vm(虚拟机kali)和Ubuntu,正常配置即可B站有很多。2.Visual Studio Code(里面要配置python,crypto库和Sagemath数学软件系统Sagemath)。3.随波逐流工作室 (1o1o.xyz)ctf工具。2024春秋竞赛ezzzecc视频解题思路2024春秋竞赛happy2024视频解析2024春秋竞赛夏季赛Signature解题思路
网络安全之不同阶段攻防手段(四)
子非渔
07-25 367
前面已经说过信息收集、扫描探测以及初始访问阶段的攻防手段,下面将说一下在攻击者获取到访问权限的情况下会接着如何进一步在网络中建立控制点、提权、横移以及完成攻击后的遗迹隐藏
LABVIEW TCP通讯调试助手
07-29
本文接收如何利用Labview的TCP通讯工具做通讯,这里手把手教各位做一个简单的TCP通讯调试助手,可以局域网互相聊天哦! 具体介绍见下面连接:https://download.csdn.net/download/weixin_41671635/89595897
机器学习与人工智能教程
07-29
机器学习与人工智能教程
基础入门转录组数据分析-WGCNA(加权基因共表达网络) 配套资源
最新发布
07-29
基础入门转录组数据分析-WGCNA(加权基因共表达网络) https://blog.csdn.net/weixin_49878699/article/details/140304846 教程配套的原始数据+代码+处理好的数据文件
【创新未发表】Matlab实现引力搜索优化算法GSA-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
原始ISET,用作ISETIO的基础-图像系统工程工具箱-matlab
07-29
原始ISET,用作ISETIO的基础 相机(Cam)的图像系统工程工具箱(ISET)。ISETCam是基础存储库。它包括其他ISET存储库用于表示场景、光学、能量、量子、颜色和软件实用程序的基本例程。ISETCam是运行ISETBio和大多数其他ISET存储库(如ISET3D、ISETAuto、ISETLens)所必需的。 原始ISET的开源版本,用作ISETIO的基础
【创新未发表】Matlab实现能量谷优化算法EVO-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值