![](https://img-blog.csdnimg.cn/20201014180756780.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
pikachu靶场闯关
Mr.sloane
这个作者很懒,什么都没留下…
展开
-
pikachu靶场之模拟xxe漏洞
payload中 &xxe; 是用来将xxe这个实体进行调用,xxe实体成功在前端回显。 查到了我在我新建的xxe.txt文件下输入的内容“我是一个网安小白白”--查看源码:利用php://协议的filter过滤器以base64格式读取服务器/本地文件,代码如下查到的是编码后3的内容,解码之后就可--DTD外部调用:第一步:模拟文件准备1、在D盘根目录新建一个flag.txt在flag.txt文件中随便输入内容,我输入的是“你好,张万森6666666666”文件在路径为原创 2024-07-25 16:55:25 · 141 阅读 · 0 评论 -
【pikachu】CSRF(get)靶场
第一步:点开提示登陆用户第二步:修改信息。原创 2024-07-24 10:02:54 · 76 阅读 · 4 评论 -
【pikachu】反射型xss(get)
alert(1) ,但是输入不全,源代码中有字数限制。第六步:点击submit提交 ,如图即xss注入成功,就可以用此方法继续注入其他的代码语句。第五步:修改字数限制代码。重新输入alert(1)原创 2024-07-23 10:58:25 · 181 阅读 · 0 评论