- 博客(4)
- 收藏
- 关注
RSS订阅
1原创 【小猪学渗透】打靶第3天:DVWA入门:XSS漏洞、文件包含、CSRF
随便输入点东西,发现了,可以输出。输入爆出xss漏洞爆出cookie。攻略上说查看源代码发现<script>标签被限制了,被替换了。(话说我没怎么学php语言这个源代码有点看不大懂,一会去补补)依旧爆出漏洞,说明成功了也可以通过大小写绕过这一部分的php代码算是看明白了,就是一个过滤的意思呗~那么我们使用别的标签也可以达到我们的目的。这个payload不成功,不知道哪里出的什么问题。
2024-03-20 10:46:58
829
原创 【小猪学渗透】打靶第2天:DVWA入门:暴力破解、命令注入、文件上传
题目界面如上先抓个包试试,发送到intruder可以看到用GET数据包传输,username和password都是直接写在了url上在password后面的数字上加上$ 123 $ 这样好进行替换。报错,没有加载字典,找到了一个老的字典库开始攻击,发现其他的密码返回的长度都是4645和4646,只有正确的密码返回的是4695,所以说密码是password。至于attack type是什么个意思,接下来告诉你。Attack type:攻击模式设置。
2024-03-19 13:44:52
897
原创 【小猪学渗透】打靶第1天:DVWA入门:SQL注入、SQL盲注
正确的语句是:1’ union select 1, group_concat(column_name) from information_schema.columns where table_name='‘users’#命令-D dvwa -T users -C user,password,user_id --dump:到最后算崩了,kali重启了- -nano修改之前的1.txt,改为抓弹出页的包,-second-url“”后面这个地址是第一个页面的地址。用抓的地址 sqlmap.py -u [地址]
2024-03-18 15:03:08
1065
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人