- 博客(6)
- 收藏
- 关注
RSS订阅原创 XSS漏洞练习
查看页面源代码的解析结果,发现插入的script标签被当作input的输入字符串。同LEVEL4思路一样,需要触发事件才能XSS攻击,这里我使用a标签的html事件。前面的事件中都是on事件触发的,而超链接标签本身是可被点击的,则直接构造超链接。尝试level2的语句,发现value后的"与插入的"不一样。插入script标签测试,发现被被当作了input字符串了。看着好像和前两关一样,尝试使用input的事件。与前面的思路一样,尝试input的html事件。尝试闭合input标签,插入script标签。
2024-08-30 09:03:45
1177
原创 pikachu漏洞练习之XSS漏洞
原理是闭合a标签,再添加新的触发事件(在img标签中使用鼠标移入触发事件)看到插入的script标签被插入到p标签中。仿造script属性插入原先的标签中(如。也可以鼠标移入触发弹窗获取cookie。利用BurpSuite抓包查看信息。则使用该payload触发XSS。输入1测试,发现是超链接属性。标签中可以插入其他的标签)用前面得到的账号密码登录。也可以弹cookie。
2024-08-29 14:44:16
211
原创 X-ray和BurpSuite联合扫描
被动扫描pikachu漏洞,端口选择未被占用的端口命令结果:主动扫描pikachu漏洞,端口选择未被占用的端口命令结果文件。
2024-08-28 20:46:39
146
原创 域名解析-信息收集
1.请求:用户在浏览器中输入网址(如),浏览器首先检查其本地 DNS 缓存,看是否已缓存该域名对应的 IP 地址。2.查询本地 DNS 服务器:如果在本地缓存中未找到,浏览器会向本地 DNS 服务器(通常由 Internet 服务提供商提供)发起请求。3.本地 DNS 服务器查询:如果本地 DNS 服务器也没有缓存该域名,它会开始 DNS 查询过程。首先,它会查看根 DNS 服务器来获取域名的权威信息。4.查询根 DNS 服务器:本地 DNS 服务器向任意一个根 DNS 服务器发送查询请求。
2024-08-28 09:06:58
2155
原创 文件上传漏洞原理
文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
2023-10-17 21:58:29
296
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人