web安全 - 随笔分类 - Lmg66

跟Bilibili UP主们学网络安全：轻松掌握攻防技术

摘要：Bilibili上有一群安全UP主，他们不仅分享着有趣的视频内容，还致力于传授网络安全知识和技巧。 crowsec https://space.bilibili.com/29903122/video 次元壁の茶 https://space.bilibili.com/13290988/video 刺掌阅读全文

posted @ 2024-03-01 21:56 Lmg66 阅读(990) 评论(3) 推荐(7)

DC靶机1-9合集

摘要：DC1 文章前提概述本文介绍DC-1靶机的渗透测试流程涉及知识点(比较基础): nmap扫描网段端口服务 msf的漏洞搜索 drupal7的命令执行利用 netcat反向shell mysql的基本操作 sudi提权基本环境搭建靶机下载地址:http://www.five86.com/dow 阅读全文

posted @ 2020-11-25 20:24 Lmg66 阅读(14405) 评论(0) 推荐(0)

蚁剑原理与魔改

摘要：一句话木马原理一句话木马形如这样： <?php @eval($_POST[password]);?> 使用蚁剑连接，连接成功那为什么能成功呢？首先要探寻一句话木马的原理所以我们post传入的字符串会以php代码的形式运行，而php代码又能调用系统操作所以便成了木马蚁剑的原理知道了一句话木阅读全文

posted @ 2020-11-21 19:22 Lmg66 阅读(6363) 评论(0) 推荐(0)

CVE-2017-6090&msf的基本使用(一)

摘要：渗透环境的搭建 phpcollab的下载:phpCollab-v2.5.1.zip 解压到www目录,给www目录权限，因为这个漏洞需要写的权限 chmod 777 wwww 基本环境配置 mysql -u root -p 进入数据库 create database msf 创建数据库名称为msf 阅读全文

posted @ 2020-10-31 17:10 Lmg66 阅读(665) 评论(0) 推荐(0)

php反序列化漏洞

摘要：前言本文总结php的反序列化，有php反序列字符串逃逸，php反序列化pop链构造，php反序列化原生类的利用，phar反序列化，session反序列化，反序列化小技巧，并附带ctf小题来说明，还有php反序列化的预防方法(个人想法)，建议按需查看，如有错误还望斧正。如非特别说明运行环境为PHP 阅读全文

posted @ 2020-10-06 20:55 Lmg66 阅读(1981) 评论(0) 推荐(1)

ctf常见源码泄露

摘要：前言在ctf中发现很多源码泄露的题，总结一下，对于网站的搭建要注意删除备份文件，和一些工具的使用如git，svn等等的规范使用，避免备份文件出现在公网 SVN源码泄露 ###原理 SVN（subversion）是源代码版本管理软件，造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管阅读全文

posted @ 2020-09-05 22:19 Lmg66 阅读(8122) 评论(0) 推荐(1)

xss原理绕过防御个人总结

摘要：xss原理 xss产生的原因是将恶意的html脚本代码插入web页面，底层原理和sql注入一样，都是因为js和php等都是解释性语言，会将输入的当做命令执行,所以可以注入恶意代码执行我们想要的内容 xss分类存储型xss: js脚本代码会插入数据库，具有一定的持久性反射型xss: js经过后端p 阅读全文

posted @ 2020-07-24 20:43 Lmg66 阅读(1690) 评论(5) 推荐(8)

xss利用

摘要：xss盗取cookie 什么是cookie cookie是曲奇饼，啊开个玩笑，cookie是每个用户登录唯一id和账号密码一样可以登录到网站，是的你没有听错cookie可以直接登录，至于服务器怎么设置cookie 和cookie存储这里就不说了，需的要自行百度 xss盗取cookie(dvwa演示) 阅读全文

posted @ 2020-07-18 19:48 Lmg66 阅读(1291) 评论(1) 推荐(2)

xss小游戏源码分析

摘要：配置下载地址:https://files.cnblogs.com/files/Lmg66/xssgame-master.zip 使用:下载解压，放到www目录下(phpstudy)，http服务下都行，我使用的是phpstudy 第一关查看源码: <!DOCTYPE html> <head> < 阅读全文

posted @ 2020-07-16 15:46 Lmg66 阅读(1202) 评论(0) 推荐(0)

Web For Pentester靶场(xss部分)

摘要：配置官网:https://pentesterlab.com/ 下载地址:https://isos.pentesterlab.com/web_for_pentester_i386.iso 安装方法:虚拟机按照，该靶场是封装在debian系统里，安装完成打开，ifconfig查看ip地址：然后直接访阅读全文

posted @ 2020-07-15 18:45 Lmg66 阅读(1454) 评论(0) 推荐(0)

DVWA(xss部分源码分析)

摘要：前言 DVWA靶场都不陌生，最新学习xss，从新又搞了一遍xss部分，从源码方面康康xss的原因，参考了很多大佬的博客表示感谢更多web安全知识欢迎访问:https://lmg66.github.io/ 环境配置官网:http://www.dvwa.co.uk/ 下载地址:https://git 阅读全文

posted @ 2020-07-15 18:06 Lmg66 阅读(1737) 评论(0) 推荐(0)

文件上传漏洞fuzz字典生成脚本小工具分享

摘要：前言学习xss的时候翻阅资料发现了一个文件上传漏洞fuzz字典生成脚本小工具，试了试还不错，分享一下配置需要python2环境工具地址:https://github.com/c0ny1/upload-fuzz-dic-builder 使用方法 $ python upload-fuzz-dic 阅读全文

posted @ 2020-07-12 21:25 Lmg66 阅读(1764) 评论(2) 推荐(1)

文件上传漏洞及绕过

摘要：文件上传的目的：上传代码文件让服务器执行(个人理解)。文件上传的绕过脑图一.js本地验证绕过原理:本地的js,F12查看源代码发现是本地的验证绕过姿势 1.因为属于本地的代码可以尝试修改,然后选择php文件发现上传成功。 2.采用burpsuite,先将文件的名称修改为jpg或png或gif 阅读全文

posted @ 2020-07-09 11:16 Lmg66 阅读(6098) 评论(0) 推荐(0)

Lmg's life

随笔分类 - web安全

公告