随笔分类 - 网络攻防
摘要:0x00 序列化和反序列化 在PHP中,序列化和反序列化对应的函数分别为serialize()和unserialize()。 序列化 :serialize()将对象转换为字符串以便存储传输的一种方式。 反序列化 :unserialize()将序列化以后产生的字符串转换为对象供程序使用。 反序列化本身
阅读全文
摘要:0x00、XXE漏洞 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 X
阅读全文
摘要:SQL注入: SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上
阅读全文
摘要:POST的和之前的GET的过程差不多,只是表单的提交方式不一样而已。 low 我们在表单中填入一个超链接 ` ESHLkangi ` 点击GO 发现可以成功注入,后台并没有进行敏感符号的过滤。 可以实现页面跳转。 medium 我们继续填入一个HTML的超链接 可以发现,不能进行转化。 应该是进行了
阅读全文
摘要:1、加载VM tools镜像 加载完成出现这个 2、复制vm tools安装包到~目录 已经复制到了~目录下 3、解压安装包 vmware-tools-distrib 就是解压出来的文件夹 4、安装 出现这个表示安装成功 5、重启即可
阅读全文
摘要:PentestBox不同于运行在虚拟机或者双启动环境的Linux渗透测试发行版。 它打包了所有的安全工具,并且可以在Windows系统中原生地运行,有效地降低了对虚拟机或者双启动环境的需求。 下载地址 点击下载 选择安装有Metasploit的pentestbox。 下载完成是这样的安装包,双击安装
阅读全文
摘要:点击文件,新建虚拟机新建一个虚拟机 点击后出现这个,选择典型 点击下一步,然后选择安装程序光盘映像文件(iso),然后浏览,找到你下载的镜像 点击下一步,选择linux,选择最高Debian版本的,64位的就选择64位 点击下一步,修改名称,选择要安装到的地方 点击下一步,选择你想要磁盘大小,不小于
阅读全文
摘要:什么是Injection? injection,中文意思就是注入的意思,常见的注入漏洞就是SQL注入啦,是现在应用最广泛,杀伤力很大的漏洞。 什么是HTML injection? 有交互才会产生漏洞,无论交互是怎么进行的。交互就是网页有对后台数据库的读取或前端的动态效果。HTML文件并不是像大家想的
阅读全文
浙公网安备 33010602011771号