server新手引导 sql_新手入门靶机BEEBOX教程—第一章A1(二)

最新推荐文章于 2024-03-18 11:56:53 发布
最新推荐文章于 2024-03-18 11:56:53 发布
阅读量671 收藏 1
点赞数
文章标签: server新手引导 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39915308/article/details/111675602
版权
本文是BEE-BOX靶机第一章A1的注入漏洞讲解,涵盖HTML、OS命令和SQL等多种类型注入。通过实例演示了各类型注入的触发原理和危害,提供学习资源链接,并提醒读者理解漏洞来源和防范措施。
摘要由CSDN通过智能技术生成

2fc105fff10e335e31fc6e6b29351fca.png

0x00  Preface [前言/简介]

接着上一篇文章,更新BEE-BOX第一章A1题目,有不理解这些靶机是哪儿的小伙伴,传送门:新手入门靶机BEE-BOX教程—环境搭建(一)

0x01  BEE-BOX习题:A1-Injection原理

1d931698f49ed282bdc3cfe4358bdf5e.png

今天所更新的是A1,关于注入漏洞。在A1中有HTML页面注入、OS命令注入、SQL注入等比较经典注入。

我们在学习的时候,首先要先理解他们的原理,这些漏洞是怎么来的,怎么进行触发,危害有多大。

SQL注入跟HTML页面注入原理请移步:https://www.cnblogs.com/cooper/archive/2010/03/23/1692792.html

OS命令注入请移步:https://baijiahao.baidu.com/s?id=1652954272634233653&wfr=spider&for=pc

e67066e9e9d1a82d3ee33189d0f235d8.png

注:本文尽量寻找通俗易懂原理,如果有不清楚等地方,可以看着靶机进行走一遍,我所做的靶机题目都是属于LOW,请大神勿喷。

0x02 A1-Injection习题

1、HTML Injection - Reflected (GET)

ae6af7f5e2e3408ca1e6f5d8435bbc81.png

核心代码:

ca006a5ecead9c4eea3b5b652069ad96.png

在表单提交没有对用户输入的数据进行处理,并且在echo 的时候没有处理就打印到页面,如果我们输入:点击,效果如下:发现在First name里面变成了链接。

e950fc537a8a91afc24011015bbe8d83.png

2、HTML Injection - Reflected (POST)

跟第1题是一样,只不过是将GET换成POST,效果依然是一样,输入点也是一样。只不过参数一个是以GET方式输出,一个是POST方式输出,如果有不懂GET、POST意思的,请移步:https://blog.csdn.net/vikeyyyy/article/details/80655115。

e226972b11953d43f439de5eadbafb8c.png

3、HTML Injection - Reflected (URL)

查看代码发现接受的参数来自请求头HOST和URL,那么我们可以构造一下参数,在HOST或者URL也可以。
核心代码:

5b78924cbcef9bcae421be28860f5a83.png

e5dd2f252de2c75b1d281dc1a57c1264.png

657e2f9aa551177bb01b93e08bf3199c.png

效果如下:

42bf5e20cf1d739f1439d70247baaaa0.png

4、HTML Injection - Stored (Blog)

核心代码:

2b992b142b8498c069af451f8ce22b07.png

bb53c227530ead88acdfcbd45d09e97b.png

最低0.47元/天 解锁文章
weixin_39915308
关注
Linux系统之安装ServerBee服务器监控工具
jks212454的博客
10-16 886
Linux系统之安装ServerBee服务器监控工具
beeServer:小蜜蜂服务器
04-28
beeServer 小蜜蜂服务器
云原生之使用Docker部署ServerBee服务器监控工具
jks212454的博客
10-14 842
云原生之使用Docker部署ServerBee服务器监控工具
跨平台监控管理工具ServerBee
wbsu2004的博客
02-10 8432
ServerBee 是一款支持跨平台集监控、管理和终端的效率工具。
服务器监控新利器:ServerBee带你看透服务器运行状态
最新发布
didiplus
03-18 1227
ServerBee 是一款基于 Web 的服务器监控和管理工具,可用于实时监控服务器性能指标、系统状态、网络流量等信息,帮助管理员可以更好管理服务器。总的来说,ServerBee是一款功能强大、性能稳定、操作简便的服务器监控工具,能够帮助企业及时发现和解决服务器问题,提高服务器的稳定性和可靠性,保障业务的持续运行。如果您还在为服务器监控而烦恼,不妨试试ServerBee,让您的服务器监控更智能、更高效!
MyOA.rar_easy _myoa_myoa靶机_oa_ssh mysql 框架
09-24
【标题】"MyOA.rar_easy_myoa_myoa靶机_oa_ssh mysql 框架" 描述了一个基于SSH框架和MySQL数据库的在线办公(OA)系统,名为MyOA,并且它具有一个易于使用的前端界面——Easy UI。这个项目可能用于企业内部的自动化...
sqli-labs-master.zip sql注入的学习靶机
01-18
sql注入的学习靶机,由于github经常挂,这里特提供大家下载。
web渗透测试靶机新手
05-07
Web渗透测试靶机是针对新手入门的网络安全学习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞的Web应用,让学习者通过查找和利用...
靶机-凹丫丫新闻发布系统V4.7修改版asp+sqlserver带注入版(改)
05-21
凹丫丫新闻发布系统V4.7修改版asp+sqlserver带注入版!本人修改的版本去掉sql过滤!后台上传取消限制cer文件!内附安装说明!推荐环境windows server 2003 + iis6.0 + asp + sqlserver 2005 express ! include/conn....
渗透测试新手练习及高手深入挖掘专用Linux及Windows靶机(官方原版镜像)
05-08
本人学习时使用的的这两个系统,常见的高风险漏洞较多,容易利用,适合新手练习。 metasploitable-linux为常用的Linux靶机,系统包含了很多高风险漏洞、弱口令及容易利用的端口、服务,是渗透测试初学者练习技术的...
linux_window下安装bee 并简单使用bee
ltgsoldier1的博客
08-09 396
但是2x安装不上 解决办法。
beebox靶场A1 low 命令注入通关教程(上)
dj445566的博客
12-14 1611
本文为beebox(小蜜蜂)靶场系列A1的low级别的命令注入和各种注入的集合,大家多多掌握方法和思路
Bee-box1.6 虚拟机镜像包及键盘设置
n5xxxx__zy的博客
07-15 1319
下载地址:https://pan.baidu.com/s/1CCtQZ5kYDQx-IsvoHlo3Zg 密码:al5k 键盘设置如下:
BWAPP之SQL注入通关
qq_43665434的博客
04-17 2818
1、SQL injection(GET/search) low 输入单引号直接报错,说明有注入点 直接order by分法得出主查询字段数为7 直接union注入,测出回显点为2,3,4,5 查数据库信息: 测出数据库名为bwapp,用户为root,版本为5.5.53 查询表名: 查询字段名: 查字段值: 没有难度。 medium 尝试多种方法都不行,看了一眼源码: 发现是用addslashes()进行转义的,尝试了下宽字节绕过,也不行。 看了下原来数据库采用的是urf8编码,本来想改成g..
smtp渗透
m0_46689007的博客
11-30 3086
我们可以透过协议,指定了一条消息发送至一个或多个接收者,然后消息文本会被传输。例如,他们可以向财务部门发送一封看似来自 CFO 的令人信服的电子邮件,并紧急要求向攻击者的账户进行大笔银行转账。电子邮件库将这些地址转换为 RCPT TO 命令,并将邮件不仅发送给预期的收件邮箱,还发送给这些额外构造的收件邮箱。用于利用邮件服务器和网络邮件应用程序,这些应用程序根据用户提供的未正确过滤的输入构造恶意SMTP 语句,将攻击者控制的 SMTP 命令注入从应用程序传输到 SMTP 服务器的数据中,以发送垃圾邮件。
bwapp通关(全完结)
热门推荐
hxhxhxhxx的博客
10-20 1万+
bwapp/ A1 - Injection /HTML Injection - Reflected (GET)HTML Injection - Reflected (POST)HTML Injection - Reflected (Current URL)HTML Injection - Stored (Blog)iFrame InjectionLDAP Injection (Search)【待开化】 ---------------------- bWAPP v2.2 -----------------
bWAPP----Mail Header Injection (SMTP)
weixin_30502157的博客
07-12 1139
Mail Header Injection (SMTP) 本地没有搭环境,没法演示,附上转载的 https://www.acunetix.com/blog/articles/email-header-injection/ 什么是电子邮件标题注入? 发表于2017年5月3日由伊恩·马斯喀特 通常的做法是网站实施联系表单,反过来将合法用户的电子邮件发送给消息的预期收件...
网络安全入门篇:bwapp靶场通关(更新ing)
weicanglv3545的博客
08-12 3059
bwapp是一个覆盖范围非常广的漏洞靶场,非常适合初学者入门使用。 本篇文章中使用的bwapp是docker安装,因此有一些漏洞不能很好的支持。 如果想获得完整体验,可下载bee-box,一个预装了bwapp的Linux VM。...
web渗透--26--服务器端包含注入(SSI注入)
武天旭的博客
09-16 2807
1、漏洞描述: Web服务器通常允许开发人员在静态HTML页面内嵌入少量的动态代码,而无需处理全部的服务器端或客户端语言。这个特征称作:服务器端包含(SSI)。在SSI注入测试中,我们测试能否注入可由SSI机制解释的应用程序数据。该漏洞的成功利用允许攻击者在HTML页面中插入代码,甚至实施远程代码执行。
sql注入攻击技术的靶机
08-31
SQL注入攻击技术的靶机是一个用于模拟和演示SQL注入攻击的系统或应用程序。靶机通常存在安全漏洞,可以被攻击者利用进行SQL注入攻击,以此来加深对SQL注入漏洞的理解和防御技巧。 以下是一些常见的SQL注入漏洞靶机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值