Paddling

摘要： 0x01 xsser xsser是一款用于针对Web应用程序自动化挖掘、利用、报告xss漏洞的框架。kali默认安装。 命令行启动：xsser 图形化界面启动：xsser --gtk 帮助信息：xsser -h或xsser --help 0x02 XSStrike 1.简介 XSStrike是一款检 阅读全文

摘要： XSS Challenges 过关目标是alert(document.domain); stage 1： <script>alert(document.domain);</script> stage 2: "><script>alert(document.domain);</script> stag 阅读全文

摘要： 0x00 简介 记录一下，重点是记录一下那篇正则文章。 0x01 题目代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } func 阅读全文

摘要： 第五十四关 题目给出了数据库名为challenges。 这一关是依旧字符型注入，但是尝试10次后，会强制更换表名等信息。所以尽量在认真思考后进行尝试 爆表名 ?id=-1' union select 1,2,group_concat(table_name) from information_sche 阅读全文

摘要： 第三十八关：堆叠注入 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; /* execute multi query */ if (mysqli_multi_query($con1, $sql)) { /* store first result 阅读全文

摘要： 第二十一关：base64编码的cooki注入 YOUR COOKIE : uname = YWRtaW4= and expires: Tue 10 Mar 2020 - 03:42:09 注:YWRtaW4=是admin经过base64编码。 在uname=后面进行注入，每次注入需要进行base64 阅读全文

摘要： 搭建与安装 参考：https://www.fujieace.com/penetration-test/sqli-labs-ec.html 下载：sqli-labs下载 第一关：单引号报错注入 ?id=-1' union select 1,(select group_concat(username,0 阅读全文

摘要： 0x01 XSS介绍 XSS，全称Cross Site Scripting，即跨站脚本攻击，某种意义上也是一种注入攻击，是指攻击者在页面中注入恶意的脚本代码，当受害者访问该页面时，恶意代码会在其浏览器上执行，需要强调的是，XSS不仅仅限于JavaScript，还包括flash等其它脚本语言。根据恶意 阅读全文

摘要： 0x01 文件上传 File Upload，即文件上传漏洞，通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得可以通过上传webshell获取服务器权限，因此文件上传漏洞带来的危害常常是毁灭性的。 0x02 Low级别 代码如下： <?php if( isset( $_POST[ 'Up 阅读全文

摘要： 0x01 文件包含漏洞介绍 File Inclusion，意思是文件包含（漏洞），是指服务器开启allow_url_include选项时，就可以通过php的某些特性函数（include(),require()和include_once(),require_once()）利用url去动态包含文件，此时 阅读全文