PT
sash1mi
这个作者很懒,什么都没留下…
展开
-
某网站(自建)系统提权之流程
某网站(自建)系统提权之流程1.使用御剑进行网站目录扫描2.扫到疑似后台登录网址,尝试登陆3.尝试弱口令登录,admin username root等,登陆成功4.寻找文件上传位置、备份数据库位置、可能存在的XSS位置等要耐心,后台管理界面功能较多,要逐一尝试(功夫不负有心人,找到了,哈哈哈哈啊)因为此网站是拿asp写的,所以要上传asp的马子,.asp的文件不能上传,把他改成.jpg后缀的图片马,bp抓个包,记下上传的路径5.又在后台某处发现了一个备份数据库,但数据库名字改不了,直原创 2020-08-26 18:13:11 · 1066 阅读 · 0 评论 -
XSS漏洞与CSRF漏洞
XSS漏洞的简单介绍XSS原称CSS(cross site script),即跨站脚本攻击。是一种经常出现在 web应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing) 攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击”,而Ja原创 2020-08-26 15:08:29 · 334 阅读 · 0 评论