- 博客(7)
- 收藏
- 关注
RSS订阅原创 Ctfhu-Web-SSRF篇
127.0.0.1被ban了,我们换localhost,或者也可以十六进制。将这些进行二次编码,在第一次编码后将%0A替换成%0D%0A。去访问var/www/html/flag.php。去访问127.0.0.1:80/flag.php。直接访问127.0.0.1的flag.php。因为没有提交按钮,按F12,自己加一个。然后输出到浏览器,用中国菜刀去连接。将payload二次编码上传。查看页面源代码得到flag。老样子用localhost。给我们返回三个问号?访问flag.php。题目要求需要加上这行。
2024-07-24 19:40:37
139
原创 xss flash钓鱼拿到主机控制权
4.生成钓鱼网站,以flash为例。下载下面的项目并将其源码文件部署在网站根目录。因为木马文件之前选择的是隐藏并且第一个,所以我们的木马会在这个安装界面之前。8.当他点击就会跳转到我的flash,这时候他点击立即下载就会上当。6.去找一个xss漏洞提交1.js,这样管理员登录就会出问题。6.将shell.exe和falsh安装包压缩成一个。7.模拟登录管理员账户后会有以下页面。10.去kali:sysinfo。9.当他运行该文件就会出错。
2024-07-23 20:47:52
112
原创 【墨家靶场】sql注入(登录绕过)
3.页面只有一个登录界面,随便输入,brup抓包。4.放进重放器并对username进行修改。1.首先打开靶场环境(3墨币)5.将数据放行,页面就有KEY。工具:brup suite。2.在页面中找找注入点。
2024-07-22 19:38:00
91
原创 【墨者靶场】sql注入(Db2数据库)
地址:https://www.mozhe.cn/bug/detail/NjM3MSt5VWovcWtHOU9kaUF5dUFXQT09bW96aGUmozhe。2.此题思路是去找注入点,点击图中的通知,没有就刷新。8.这里需要对密码进行解码,再登陆就会有KEY。这里的字段name,password被隐藏了。3.使用sqlmap,查询数据库。1.首先启动(3墨币)7.查password。
2024-07-22 19:32:38
168
原创 【墨者靶场】SQL注入漏洞测试(POST)
3.根据题目post方式,那么随便输入,抓包,并对name修改(放重放器)5.这时候再返回主机浏览器就可以得到KEY。修改正确,那就把它放行。工具:brup suite。1.首先开启靶场(3墨币)
2024-07-22 19:00:01
103
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人