记一次挖洞示例

最新推荐文章于 2023-04-25 11:01:40 发布
最新推荐文章于 2023-04-25 11:01:40 发布
阅读量255 收藏
点赞数
原文链接:http://www.cnblogs.com/xm17/p/8997904.html
版权

在某一次src的测试中,

 

遇到了主站的其他端口存在一个管理系统

 

 

 

 

 

放眼过去,只有登录这个可以试试,

 

 

 

 

 

一般情况下,我们可以测试弱口令,SQL注入 等。但是这里都不存在,burp抓包后  response是返回302跳转的,一般的话,到这里,大部分人都不会测试了

 

但是嘛 总感觉这里有问题,所以,看了下网页源代码。

 

 

然后这个页面就直接越权到后台了,啧啧

 

 

转载于:https://www.cnblogs.com/xm17/p/8997904.html

bit小兵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次挖洞实战(小白摸索一 )【get shell】
weixin_45525005的博客
05-02 848
使用kali 的dirb进行目录爆破,爆出了 phpinfo页面: 关闭了包含,发现数据库使用mysql 打开admin后台登录页面 burpsuit抓包: 抓包 发现post明文传输 密码,弱口令加爆破均失败 直接对name进行sql注入: 构造语句 (' a or 1=1--) 发现页面报错,提示很明显,sql语句直接暴露了 : SELE...
【渗透测试】浅一次挖洞经历
qq_48201589的博客
04-16 6610
一次比较愉快的挖洞历程 一开始拿到主站,翻了翻没啥可用的中间件漏洞版本信息。所以,还是那句老话:柿子还是要挑软的捏。光速去搜寻他的旁站(我用的是奇安信的Hunter)。 果不其然搜索到了他的后台登录系统。既然是登录,当然要用BP去爆破一下他的密码了。一般后台用户名要么是admin,要么是root。 很幸运,又让我成功的爆破了出来他的密码。弱口令+1。 进入后台,就要尝试有没有出现未授权访问了,没有的话也别灰心,继续去找它的功能点,比如他的搜索框。(很容易有SQL注入) 用BP抓..
一次挖洞实战经历(高危信息泄露)
weixin_63021331的博客
04-19 1028
(免责声明: 本文仅供学习和参考,切勿用于非法途径,未授权的测试皆为违法行为,一切后果自负,与本人无关)由于也是很久没有挖洞了,所以这次也是先从简单的入手,一些小白也可以学着先从简单的洞开始,在补天上面尽量选择公益src,然后直接翻到最后一百多页点进不知名企业或者学校看看那个提交的漏洞比较少,基本上就可以开始测试了。每次渗透测试并非一蹴而就,需要我们不断的去尝试,只要知道任何防护都有漏洞,不是它太难发现,而是自己能力可能还未达到,最后也是附上chatgtp关于如何学好渗透的建议。
一次挖洞思路
蚁景网安学院
10-31 763
闲聊: 相信最近挖洞的很多小伙伴能感受到众多SRC中SQL 注入漏洞、XSS漏洞、上传、命令执行等传统应用安全方面的漏洞越来越不好挖,如果有也被各种大佬第一时间捞走了,这样对有些小白挖洞...
【入门】玩转CSRF之挖洞实例分享
chengman3837的博客
12-26 457
本文原创作者:0h1in9e 本文来源地址:i春秋 本文属i春秋原创奖励计划,未经许可禁止转载! 0x01 前言 最近在挖SRC的时候经常遇到一些CSRF漏洞,发现其实掌握原理之后很容易挖到关于CSRF的漏洞。在平时的漏洞挖掘中,CSRF也没有太高的门槛,对于技术的要求也没那么高;另外,...
QGIS 示例程序,实现QGIS二次开发
06-11
示例程序旨在帮助开发者了解并实践QGIS的二次开发,利用vc9(Visual Studio 2008)作为开发环境,结合qgis1.6 SDK(软件开发工具包)和qt4.7库,实现对QGIS基本GIS功能的扩展。 QGIS的二次开发通常涉及以下几个...
EPLAN的一个示例工程
12-17
很具有参考价值的一份EPLAN示例文档,适合各位学习EPLAN的朋友参考一下设计规范。
C# 调用 bartender 打印的示例(二次开发,含说明)
07-15
压缩包中的"BarTender二次开发示例"文件很可能包含了一个完整的C#项目,其中包括了上述步骤的代码示例,你可以通过学习和调试这个示例,进一步了解和掌握如何在自己的项目中调用BarTender进行二次开发。 总的来说,...
OPC UA C# 示例
01-16
在本示例中,我们将重点讨论如何使用C#语言来实现一个OPC UA客户端,以便与PLC(可编程逻辑控制器)进行通信并进行数据采集。 首先,理解OPC UA的核心概念是至关重要的。OPC UA不仅是一个协议,它还包括一套服务和...
C# Redis示例Demo
11-26
中的示例demo,需要使用VS2012打开。解压后将redis-2.4.5-win32-win64文件夹下对应于你自己PC的文件夹中文件拷贝到D盘新建文件夹redis中,详细过程,请参照:...
云端模糊测试挖洞实例
01-27
Fuzzing(模糊测试)是一种用于识别软件bug以及漏洞的方法。就目前的发展趋势来说Fuzzing正向着云端迈进,相较于传统Fuzzing方式,云端Fuzzing使得模糊测试速度加快也更加灵活。在本教程中,我们将与你一同走完云端模糊测试的全过程(即部署,Fuzzing以及使用softScheck CloudFuzzingFramework(sCFF)框架检索结果)。我们将以运行在Ubuntu 16.04上的t
HackerOne第二名白帽专访:业余挖洞,两年赚 40 万美金
weixin_34054866的博客
09-20 941
本文讲的是HackerOne第二名白帽专访:业余挖洞,两年赚 40 万美金, 你必须要体谅Sean Melia(meals),他在十万白帽黑客聚集的HackerOne社区只是位列第二名。毕竟他把时间分割成了两部分,业余寻找漏洞,日常则在安全服务公司Gotham Digital Science干资深安全工程师的活儿。 Melia,26岁,北卡罗来纳州居民...
【HackerOne挖洞经验】GitHub页面接管并利用-子域名接管
weixin_46475637的博客
05-09 1041
【HackerOne挖洞经验】GitHub页面接管并利用-子域名接管
【经验总结】小白挖洞十天经验分享
TeamsSix 的 CSDN 空间
07-10 3859
0x01 前言 十天是指六月三十号到七月九号这十天的时间,这段时间正值暑假刚开始,虽然知道现在需要备战考研,但是看了几天书后却怎么也看不进去,这时刚好有个作业就是挖洞,于是再一次把考研的书扔到了一边。 事先声明一下,因为是小白挖洞分享,所以难免会存在错误的地方,希望多多指正与包涵。 其实自己早在一年前就有挖洞的想法,在那个时候虽然知道很多工具的使用方法,但是对于如何挖洞依旧一头雾水,慢慢的一年的时...
补天挖洞经验贴
weixin_30827565的博客
02-13 3058
转载自: 补天付费厂商漏洞挖掘小技巧 补天不收的漏洞 补天付费厂商漏洞挖掘小技巧 1、子域名收集 不要想着去撸主站,主站一出来几乎被人轮了个遍,跟大牛抢肉吃,难,放弃。 所以我们一般都是百度找子域名例如www.xxxxx.com是主站,关键字 inurl:xxxxx.com。如果这样能找到不少子域名。 1.1 补天不收的漏洞 1、反...
白帽子挖洞作业第V篇作业--那些实用挖洞fofa语句总结
qq_29437513的博客
11-03 738
fofa信息收集: fofa支持搜索http头部的内容 二次过滤 比如配合host进一步筛选漏洞主机 host=".edu.cn" && header=“apache” fofa支持搜索html正文的内容 ,比如 xxx公司 配合host可以找出某个机构or学校的包含xx公司漏洞资产。 或者直接xxx公司批量0day, host=".edu.cn" && body=“xxx公司” or host=".edu.cn" && body="/admin/
补天应急响应公司发布中国实战化白帽人才能力白皮书
m0_73803866的博客
09-25 530
从行业分布来看,36.3%的白帽子来自于安全企业,34.9%的白帽子仍是学生,7.1%的白帽子来自政府机构事业单位。从年龄分布来看,近半数的白帽子年龄在 22 岁及以下;35.7%的白帽子年龄在 23- 27 岁。从学历来看,本科及以下学历超过 9 成。其中,本科学历占比 36.3%,本科 在读占比 21.9%,还有 24.5%的白帽子为大专学历。从从业时间来看,进入安全行业 1-3 年的白帽子最多,占比 51.2%;其次为拥有 4- 6 年安全从业经验的白帽子,占比 21.2%。
我的HackerOne漏洞赏金平台漏洞挖掘流程
Ba1_Ma0的博客
04-25 8119
高强度在国外的hackerone平台挖了一周的漏洞,在这里分享一下经验
threejs 挖洞
最新发布
09-06
2. 创建用于挖洞的几何体:然后,创建一个表示要挖洞的几何体,可以是一个球体、圆柱体等。 3. 执行几何操作:使用CSG库中的函数,将主体几何体和挖洞几何体进行相应的操作。例如,使用`subtract`函数将主体几何体...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值