Web安全
文章平均质量分 70
在web安全学习过程中的笔记记录
remandancy.h
这个作者很懒,什么都没留下…
展开
-
复现PhpStudy2018漏洞复现&检测和执行POC脚本
复现PhpStudy2018漏洞复现&检测和执行POC脚本原创 2022-07-17 14:45:12 · 1690 阅读 · 2 评论 -
使用kali对ARP欺骗的复现
使用kali对ARP欺骗的复现原创 2022-07-14 19:10:11 · 650 阅读 · 0 评论 -
kali使用msfvenom生产木马,在使用msfconsole进行控制
kali使用msfvenom生产木马,在使用msfconsole进行控制原创 2022-07-13 22:17:36 · 818 阅读 · 0 评论 -
docker使用metasploit进行“永恒之蓝”复现
docker使用metasploit进行“永恒之蓝”复现原创 2022-07-13 21:17:31 · 685 阅读 · 0 评论 -
docker安装metasploit
docker的简单安装原创 2022-07-12 22:13:15 · 1120 阅读 · 0 评论 -
Ubuntu安装docker,使用docker安装awvs,并测试网站输出测试报告
Ubuntu安装dockerdocker运行awvs原创 2022-07-11 22:55:44 · 1332 阅读 · 0 评论 -
cookie注入
cookie注入一.原理♦cookie注入的原理是:就要修改cookie的值,♦cookie注入其原理也和平时的注入一样,只不过说我们是将提交的参数已cookie方式提交了,而一般的注入我们是使用get或者post方式提交,get方式提交就是直接在网址后面加上需要注入的语句,post则是通过表单方式,get和post的不同之处就在于一个我们可以通过IE地址栏处看到我们提交的参数,而另外一个却不能。♦相对post和get方式注入来说,cookie注入就要稍微繁琐一些了,要进行cookie注入,我们首原创 2022-04-16 15:13:35 · 3482 阅读 · 0 评论 -
POST注入
POST注入①除了在url中体提交,也可以在网页输入上提交,如果需要与数据库连接的话就可能会存在注入,数据需要抓包才能看见。② 产生的地方,多半出现在登录框,查询框,等各种和数据库有交互的框数据。③提交方式,与参数类型(单引号,双引号的干扰)案列(实验环境,SQlilabs 十一关)1)抓包结果可以看出,账户,密码的提交方式,猜测可能有注入点2)判断注入为字符型注入3)猜测字段数为24)联合查询,查询数据库名与数据库用户SELECT username, password FR原创 2022-04-15 18:22:53 · 2650 阅读 · 0 评论 -
MySQL注入
mysql注入1.信息收集1)操作系统:@@version_compile_cs(不同的系统对数据库操作语句的大小写区分)2)数据库名:database()3)数据库用户:user()(专门管理数据库的账户),root为最高权限,容易导致跨站注入数 据。普通用户:只能注入自己网站。4)数据库版本:version()(选择注入)5)其他网站路径(进行文件读取,为高权限读取做准备)2.数据注入1)低版本(暴力或结合读取查询,表名,列名用猜的方式)2)高版本(information原创 2022-04-13 23:21:18 · 937 阅读 · 0 评论 -
SQL注入的一些基础知识
SQL注入的一些知识危害:1.操纵数据2.数据写入,getshell,网站权限实质:通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的 一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入 的数据,致使非法数据侵入系统。恶意代码(参数值的传入),实现自定义的一种查询条件:1.可控制的变量,带入查询数据库,变量为存在过滤,过滤不严谨注意:1)注入参数点的位置 2)不同数据库的注入思路不同3.注入分类翻译 2022-04-13 23:19:14 · 211 阅读 · 0 评论