幕溪WM-CSDN博客

原创内网渗透学习-漏洞利用

再次返回管理员审核页面，弹窗成功，存储型xss漏洞一枚。前台模板可以新增php文件，我们可以尝试写入一句话木马。先用123xss测试一下会不会解析。在yxcms有个留言功能，常常存在存储型xss漏洞。登录管理员账号审核留言，发现xss脚本解析了。验证shell文件，可正常执行。

2024-04-02 18:22:29 550

原创内网渗透学习-环境搭建

虚拟机网络环境配置，模拟外网和内网vmnet0vmnet8测试网络连通性，各主机之间互相ping，如果ping不通，可能存在防火墙限制，把防火墙关闭即可。

2024-03-19 22:00:46 646 1

原创 centos云服务器安装cs（cobaltstrike4.0）教程

wget https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz #下载jdk压缩包。mv jdk1.8.0_201 /usr/local/jdk1.8/ #把jdk1.8.0_201文件移动到usr/local/jdk1.8/目录下。链接：https://pan.baidu.com/s/1kaAQH-TbGVE2LwQp2_8J1g?cd java1.8 #进入java1.8目录。在本地打开客户端连接。

2024-03-15 17:10:58 629 2

原创阿里云服务器centos安装msf教程

稍微等待几分钟即可安装成功，下载好了以后，路径是在/opt/metasploit-framework/目录下msfconsole。

2024-03-15 15:35:54 489 2

原创 ARL灯塔vps云服务器安装

ARL灯塔vps云服务器安装

2024-01-28 17:20:43 564

原创漏洞盒子公益SRC

漏洞盒子公益SRC，小小地记录一下第一个月的成果。

2023-11-23 19:51:46 265

原创 dvwa靶场通关（十二）

查看源码，addslashes() 函数返回在预定义的字符前添加反斜杠的字符串，strip_tags()函数把message中的html标签去掉了name中也把script标签替换成空了

2023-09-20 17:31:51 292

原创 dvwa靶场通关（十一）

这一关没有任何防护，直接输入弹窗打开网页源代码，从源代码中我们可以看到，前面是输出的第一部分Hello，我们输入的脚本被成功解析执行，所以出现了弹窗。

2023-08-05 23:20:53 243

原创 dvwa靶场通关（十）

DOM—based XSS漏洞的产生DOM—based XSS漏洞是基于文档对象模型Document Objeet Model，DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口，它允许程序或脚本动态地访问和更新文档内容、结构和样式，处理后的结果能够成为显示页面的一部分。DOM中有很多对象，其中一些是用户可以操纵的，如uRI，location，refelTer等。

2023-08-03 19:48:25 312

原创 dvwa靶场通关（九）

当用户登录后，在服务器就会创建一个会话(session)，叫做会话控制，接着访问页面的时候就不用登录，只需要携带 Sesion去访问。sessionID作为特定用户访问站点所需要的唯一内容。如果能够计算或轻易猜到该sessionID，则攻击者将可以轻易获取访问权限，无需登录直接进入特定用户界面，进而进行其他操作。用户访问服务器的时候，在服务器端会创建一个新的会话(Session)，会话中会保存用户的状态和相关信息，用于标识用户。

2023-07-10 21:26:09 269

原创 dvwa靶场通关（八）

这一关是盲注，所以不能用联合查询了，只能靠一点一点手动盲猜了这里用到length和substr函数先猜数据库名长度用bp抓包，发送到爆破选择攻击位置库名长度应该不会超过五十，所以设置从1到50，增量1可以知道，库名长度就是4知道了长度，然后就是爆出库名同样的方法爆破库名的第一个字母是d直接选择这两个攻击位置会更快，得出库名为dvwa接下来猜表名长度得出长度为15，其中包括了逗号，因为group_concat是用逗号把各个表名连接起来的接着爆破表名。

2023-07-10 14:02:22 439

原创 dvwa靶场通关（七）

我们输入 1',出现报错信息，根据报错信息可知，查询语句是单引号闭合的字符型接着判断字段数1' order by 3# 报错1' order by 2# 正常所以字段数就是2利用联合查询爆出数据库名和版本输入爆出表名爆列名爆数据。

2023-06-22 19:11:23 391

原创 dvwa靶场通关（六）

不安全的验证码？不是这个意思，而是指验证码验证可以被绕过。怎么绕？一般都是验证码的验证和最终修改的验证分离，导致了中间过程（验证码的验证结果）可以被篡改。

2023-06-20 15:55:48 946

原创 dvwa靶场通关（五）

File Upload，即文件上传漏洞，通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限。

2023-06-05 18:20:50 874

原创 dvwa靶场通关（四）

1.什么是文件包含？程序开发人员通常会把可重复使用的函数写到单个文件中，在使用某些函数时，直接调用此文件，无需再次编写，这种调用文件的过程一般被称为文件包含。File Inclusion，文件包含（漏洞），是指当服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include()，require()和include_once()，require_once()）利用url去动态包含文件，此时如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行。

2023-05-30 19:55:10 671

原创 dvwa靶场通关（三）

csrf跨站请求伪造：是一种对网站的恶意利用。尽管听起来像跨站脚本，但它与xss非常不同，xss利用站点内受信任用户，而csrf则通过伪造来自受信任用户的请求来利用受信任的网站，与xss攻击相比，csrf则通过伪装来自受信任用户的请求来利用受信任的网站。与xss攻击相比，csrf攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比xss更具危险性。本质来说就是在你访问网站信息的同时，盗用你的cookie，用你的身份进行一些非法操作。

2023-05-29 20:07:31 685

原创 dvwa靶场通关（二）

什么是命令注入：命令注入就是在需要输入数据的地方输入了恶意代码，而且系统并没有对其进行过滤或者其他处理导致恶意代码也被执行，最终导致数据泄露或者正常数据被破坏。常用到的命令：（总结来说就是系统操作命令DOS命令都可以在此执行试试）ipconfig，net user（查看系统用户），dir（查看当前目录），find（查找包含指定字符的行），whoami（查看系统当前有效用户名）

2023-05-25 21:13:27 858

原创 dvwa靶场通关（一）

账号是admin，密码随便输入用burp suite抓包爆破得出密码为password登录成功中级跟low级别基本一致，分析源代码我们发现medium采用了符号转义，一定程度上防止了sql注入，采用暴力破解也可以完成，在此不过多描述。

2023-05-24 20:47:21 1295

原创 sqli-labs通关（二十三）

这一关是get类型当输入?id=1'时，出现报错信息，是由单引号闭合的但是输入?id=1'--+的时候，还是报错，说明我们的注释符可能被过滤处理了查看码源，确实是把注释符过滤了那我们还是根据语句构造?成功了判断字段数，这里不能用order by，只能不断往上加数字，不过一般都是3?说明是三个字段，只显示2号位，那我们就可以在这个位置进行注入?

2023-05-08 22:12:27 451

原创 sqli-labs通关（十八）~（二十二）

输入正确的账号密码，就会返回显示我们的User Agent信息，这是在我们的post请求里面的信息所以我们用burp suite拦截抓包那我们就可以对这个User Agent下手进行注入当我们把它改成1'时，出现如下报错信息，可以知道语句是由单引号和括号闭合的，但是还有两个参数打开源码看一下有一个insert语句，有三个参数，把我们的User Agent，IP和username插入到数据库的security.uagents中所以我们构造正常，没有语法报错。

2023-05-05 20:32:06 501

原创 sqli-labs通关（十七）

这一关跟前面的关卡都不一样，是全新的关卡，页面是一个密码重置页面，需要输入用户名，然后输入新的密码，就会把我们的旧密码替换掉。所以就会用到数据库的update更新数据，不再是前面的查询数据，所以之前的联合注入和布尔盲注以及时间盲注都不能用了。这里我们要用到之前使用过的报错注入。所以我们使用mid()函数来截取，因为是从32位开始不能看到，所以我们从第32位开始截取，截取后32位。这里要先输入正确的用户名，验证成功后才会把新密码替换，所以我们输入。但是回显并没有完全，因为报错回显只能回显32位。

2023-05-05 10:46:29 560 1

原创 sqli-labs通关（十四）（十五）（十六）

输入1",出现如下报错信息，告诉我们要双引号闭合所以我们输入1" or 1=1#没有任何返回信息，这一关和十三关一样，利用报错信息爆出数据。

2023-05-04 20:31:21 244

原创 sqli-labs通关（十三）

报错原理：xml文档中查找字符位置是用/xxx/xxx/xxx/...这种格式，如果写入其他格式就会报错，并且会返回写入的非法格式内容，错误信息如：XPATH syntax error:'xxxxxxxx‘没有任何的返回信息，只有报错信息，那我们就用报错注入，让返回的报错信息包含我们的想要的信息。0x7e是~的意思，用concat拼接我们的sql语句，不符合xml文档的格式，就会报错，参数2：XPath_string(Xpath格式的字符串)，注入时可操作的地方。作用：改变文档中符合条件的节点的值。

2023-05-03 21:54:04 538

原创 sqli-labs通关（十一）（十二）

变成了一个登录页面,那么注入点就在输入框里面。前十关使用的是get请求，参数都体现在url上面，而从十一关开始是post请求，参数是在表单里面。我们可以直接在输入框进行注入就行。并且参数不在是一个还是两个。根据前面的认识我们可以猜测sql语句。大概的形式应该是这样username=参数 and password=参数，只是不知道是字符型还是整数型。跟第一关一样，我们直接用爆出数据库名和版本号。我们在输入框输入1'，直接出现报错信息。判断字段数为2，因为3报错。根据报错信息，我们输入。

2023-05-03 20:52:01 155

原创 sqli-labs通关（九）（十）

接着判断数据库名，数据库名应该是大小写字母组成，对应的ASCII码应该是从41到112的范围内，可以用>或

2023-05-03 14:59:33 134

原创 sqli-labs通关（六）（七）（八）

输入?id=1"，出现下面的错误提示，说明这是双引号闭合后面的跟第五关一样是布尔盲注。

2023-05-03 13:57:57 79

原创 sqli-labs通关（五）

但是这一关没有回显信息，输入正确就会出现以下信息，错误则会报错，说明存在布尔盲注，我们可以利用这个来进行判断。函数 substr(a,b,c)，a是截取的字符串，b是截取的位置，c是截取的长度。length()函数是返回字符串的长度，先暂且猜测数据库名长度是1。开始攻击，8的返回长度不一样，所以猜测数据库名的长度就是8。然后就是逐个爆破后面字母，直到把8个字母的库名爆出来，但是。然后我们验证，显示正常，说明数据库名长度就是8。设置类型为数值，从1到20，步长为1。id=1，只有下面这种结果。

2023-04-30 22:11:24 784

原创 sqli-labs通关（四）

select...from...where id=("我们输入的信息") limit0,1。id=1"的时候，出现了报错信息，根据报错信息我们推测sql语句是。双引号和括号闭合前面的双引号和括号，--+注释后面的双引号和括号。id=1'结果都是一样，没有报错信息。

2023-04-30 15:53:11 88

原创 sqli-labs通关（三）

id=1',出现报错，并且报错信息给了我们提示，有对单引号把我们输入的1'包起来且后面有个括号,猜测sql语句应该是。select...from...where id=('我们输入的内容') limit 0,1。那我们把前面单引号和括号闭合，把后面的单引号和括号注释掉。后面的操作跟第一第二关一样，就不演示了。然后利用报错和联合查询查看回显字段。查数据库版本号，库名。

2023-04-25 21:56:09 297

原创 sqli-labs通关（一）（二）

注意，在Mysql5.0以上， Mysql自带了Information_schema这个数据库， 5.0以下是没有的，information_schema 数据库跟 performance_schema 一样，都是 MySQL 自带的信息数据库。而使用-- （有个空格），在传输过程中空格会被忽略，同样导致无法注释，所以在get请求传参注入时才会使用--+的方式来闭合，因为+会被解释成空格。id=10,我们发现输入的数值不同，返回的信息也不同，所以输入的数值应该是被代入到数据库中进行查询。

2023-04-24 21:48:33 117

原创 pikachu靶场通关(下)

一、什么是RCE？RCE漏洞，可以让攻击者直接向后台服务器远程注入操作系统命令或者代码，从而控制后台系统。1、远程系统命令执行出现原因：因为应用系统从设计上需要给用户提供指定的远程命令操作的接口。比如常见的路由器、防火墙、入侵检测等设备的web管理界面上，一般会给用户提供一个ping操作的web界面，用户从web界面输入目标IP，提交后，后台会对该IP地址进行一次ping测试，并返回测试结果。而如果设计者在完成该功能时，没有做严格的安全控制，则可能会导致攻击者通过该接口提交“意想不到”的命令，从而控制整

2023-04-17 19:39:27 621

原创 pikachu靶场通关(上）

第一关：暴力破解1.1基于表单的暴力破解首先打开burp suite拦截，然后在随意输入账号密码，可在burpsuite上抓到皮卡丘的包，可以看到刚才输入的账号密码我们选择放包，然后看到提示“用户名或密码不存在”，说明刚刚随便输入的账号密码是错的（废话）这怎么办呢，可以看到右上角有提示，我们点开发现三个账号密码，其中肯定有一个是正确的，当然我们可以一个一个地试。但是数量多的话我们就不好试了。把这三个记下来，下面用到。再次随便输入账号密码，拦截抓包发送攻击类型选择集束炸弹。

2023-04-08 16:51:23 761

原创头歌python实训通关九——信息安全——计算机取证

注意，这个模块的名字对大小写是敏感的，所以，确保y是小写的，其他字母都是大写的 #####PdfFileReader 构造方法： PyPDF2.PdfFileReader(stream,strict = True,warndest = None,overwriteWarnings = True) 初始化一个 PdfFileReader 对象，此操作可能需要一些时间，因为 PDF 流的交叉引用表被读入内存。有一个加密的Zip格式的压缩文件src/step1/evil.zip，它的密码未知。

2023-04-06 20:04:32 827

原创头歌python实训通关八——进程和线程——进阶

初始状态是”未付款“，中间状态有”已付款5毛“，”已付款1块“，”已付款1.5块“，”已足额付款“，四个状态。在下图中，可以看到系统有 S1, S2, S3, S4 四个状态, 0 和 1 是状态机可以从一个状态到另一个状态的值，例如，只有当只为1的时候，S0可以转换到S1，当只为0的时候， S0可以转换到S2。这个转换的过程就是根据条件来切换状态，题目中，我们会输入一组数字作为事件，根据这一组数字，完成状态转换并输出相应的动作，从 S0 开始，叫做初始状态，最后到 S4，叫做结束状态。

2023-04-06 19:59:09 994

原创头歌python实训通关八——进程和线程——基础

根据提示，在右侧编辑器补充代码，用多进程实现求区间[1,n]里素数的个数。说明：求区间内素数个数是计算型密集任务，且可以将区间分成互不相关的子区间，分别使用进程对他们求解，正是多进程的用武之地！根据提示，在右侧编辑器补充代码，使用多线程计算给定区间合数的个数。为了完成本关任务，你需要掌握：1.线程的使用，2.线程锁的使用。本关任务：使用 Python 多线程，实现求合数的个数。为了完成本关任务，你需要掌握：1.python多线程。为了完成本关任务，你需要掌握：1.多进程的使用。

2023-04-06 19:54:08 2387

原创头歌python实训通关八——素数个数

本关任务：编写程序，使用ProcessPoolExecutor并发统计指定范围内的素数个数。为了完成本关任务，你需要掌握：1.ProcessPoolExecutor 2.素性检测。本关任务：编写程序，使用进程池统计指定范围内的素数个数。为了完成本关任务，你需要掌握：1.进程池，2.素性检测。测试输入： 2000 预期输出： 303。测试输入： 5000 预期输出： 669。测试输入： 2000 预期输出： 303。测试输入： 5000 预期输出： 669。

2023-04-06 19:49:34 2014

原创头歌python实训通关七——面向对象程序设计——进阶

测试输入： ["LFUCache", "put", "put", "get", "put", "get", "get", "put", "get", "get", "get"] [[2], [1, 1], [2, 2], [1], [3, 3], [2], [3], [4, 4], [1], [3], [4]] 预期输出： [None, None, 1, None, -1, 3, None, -1, 3, 4]根据程序中的提示，完成相应类代码的编写。根据提示，在右侧编辑器补充代码，根据提示，完成。

2023-04-03 20:08:24 1761

空空如也

空空如也