摘要:
已知程序 用户能做的事情 win+x 一般没权限执行vulmap 1.txt 是刚刚 对方的信息 工具在本地电脑上运行,通过1.txt,找对方漏洞 极少能在web环境下运用 必须在对方电脑上运行,必须改一下才能运用到本地 将 按照他的格式写进去 然后就得到 先使用:MSF利用(比较好) 直接搜索 装 阅读全文
posted @ 2023-09-22 17:15
TinKode
阅读(157)
评论(0)
推荐(0)
摘要:
1.存在回显,联合查询就是两个sql语句一起查询,两张表具有相同的列数,且字段名是一样的。 表格有几列 ?id=1'order by 3 --+ 爆出显示位 ?id=-1'union select 1,2,3--+ 获取当前数据名和版本号 ?id=-1'union select 1,database 阅读全文
posted @ 2023-09-20 19:11
TinKode
阅读(29)
评论(0)
推荐(0)
摘要:
sql注入就是在数据交互中,前端数据传到后台时没有做严格的判断,导致传进来的数据被拼接到sql语句中,被当作sql语句的一部分进行执行,从而导致数据泄露,丢失甚至服务器瘫痪。如果代码中没有过滤或者过滤不严谨是会出现漏洞的。 判断注入and 1=1 正常and 1=2 错误可能存在注入,其实归根结底就 阅读全文
posted @ 2023-09-20 16:17
TinKode
阅读(84)
评论(0)
推荐(0)
摘要:
翻译 搜索 复制 阅读全文
posted @ 2023-09-19 17:27
TinKode
阅读(18)
评论(0)
推荐(0)
摘要:
探针:Goby、Nmap、Nessus、OpenVAS、Nexpose 推荐Nessus https://www.cnvd.org.cn/ https://www.seebug.org/ https://packetstormsecurity.com/ 翻译 搜索 复制 阅读全文
posted @ 2023-09-19 16:29
TinKode
阅读(28)
评论(0)
推荐(0)
摘要:
CSRF:跨站请求伪造(Cross-site request forgery)CSRF是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。当用户访问含有恶意代码的网页时,会向指定正常网站发送非本人意愿的数据请求包(如转账给hack,向hack发送API等)如果此时用户恰好登录了该 阅读全文
posted @ 2023-09-19 13:18
TinKode
阅读(103)
评论(0)
推荐(0)
摘要:
DNS重绑定DNS Rebinding攻击在网页浏览过程中,用户在地址栏中输入包含域名的网址。浏览器通过DNS服务器将域名解析为IP地址,然后向对应的IP地址请求资源,最后展现给用户。而对于域名所有者,他可以设置域名所对应的IP地址。当用户第一次访问,解析域名获取一个IP地址;然后,域名持有者修改对 阅读全文
posted @ 2023-09-19 13:12
TinKode
阅读(398)
评论(0)
推荐(0)
摘要:
302跳转 Bypass 题目描述:SSRF中有个很重要的一点是请求可能会跟随302跳转,尝试利用这个来绕过对IP的检测访问到位于127.0.0.1的flag.php吧! 这道题绕过的方式有很多,这里先讲讲302跳转,302跳转就是由一个URL跳转到另外一个URL当中去,就好比现实生活中的呼叫转移, 阅读全文
posted @ 2023-09-19 13:10
TinKode
阅读(819)
评论(0)
推荐(0)
摘要:
SSRF是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF攻击的目标一般是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统) SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从 阅读全文
posted @ 2023-09-19 13:09
TinKode
阅读(416)
评论(0)
推荐(0)
摘要:
Java中的API实现: 位置:Java.io.ObjectOutputStream java.io.ObjectInputStream 序列化:ObjectOutputStream类-->writeObject() 注:该方法对参数指定的obj对象进行序列化,把字节序列写到哟个目标输出流中,按Ja 阅读全文
posted @ 2023-09-19 12:56
TinKode
阅读(126)
评论(0)
推荐(0)
浙公网安备 33010602011771号