- 博客(4)
- 收藏
- 关注
RSS订阅原创 DVWA-文件包含
什么是文件包含?在文件包含里面,我们要想方设法把真正包含的文件掉包,换成恶意文件,服务器却不知道。文件包含:是一种代码处理方式,当一个代码文件想要引用另外一个代码文件,就要用到包含,常见的包含函数有include、require等,参数是文件名。但是如果文件包含的参数用户可控且过滤不严,被攻击者偷梁换柱。LOW等级:首先进行正常的操作:点击fil1和file2时,仅仅是配...
2018-12-21 14:17:02
2250
原创 DVWA-CSRF
LOW等级:首先进行正常操作。接下来打开burpsuit抓包如图所示,将password参数test改为password:退出DVWA用刚刚修改的密码成功登陆:由此可知,这个数据包发送给其他用户,只要该用户登陆了DVWA的网站,就能修改他们的密码,攻击者只要修改password_new和password_conf这两个参数为自己想要的密码,将新的get请求的...
2018-12-18 21:10:11
1016
2
原创 IP地址和MAC地址的关系
在计算机网络中,要资源共享,有条不紊的交换数据,就要遵守一些大家事先约定好的规则,这些为进行网络中的数据交换而建立的规则标准或约定称为网路协议简称协议。为了使计算机之间能够高效的传输就采用了分层,就像平时生活中大家分工合作完成一件事一样。分层有7层也有5层,都有自己的优缺点。我们把计算机网络的各层及其协议的集合称为计算机网络的体系结构。这里介绍五层协议的体系结构,如下图所示首先IP地址...
2018-12-18 11:37:42
28639
8
原创 DVWA--命令注入
1、判断是否调用系统命令,经判断调用了系统命令ping。2、判断调用系统命令的参数是否可控,并验证。 3、判断可控参数能否有效地拼接命令。Medium等级: High等级:impossible等级:提示输入的不是合法的IP,这里直接限制了IP的格式。 修复:白名单Windows下常见的命令连接符号以及它们的意...
2018-12-18 11:26:39
198
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人