TinKode - 博客园

2023年9月19日

反序列化之PHP

摘要： PHP反序列化原理：未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，从而导致代码执行、SQL注入、目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 php序列化与反序列化的关键函数： serialize 阅读全文

posted @ 2023-09-19 12:53 TinKode 阅读(17) 评论(0) 推荐(0)

2023年9月18日

WEB漏洞-XXE&XML之利用检测绕过全解

摘要： XML内容： <?xml version="1.0"?> <!DOCTYPE a [ <!ENTITY % d SYSTEM “file:///etc/passwd”> %d; ]> <c>%d;</c> XML内容 <?xml version=’1.0’?> <!DOCTYPE a [ <!ENT 阅读全文

posted @ 2023-09-18 17:32 TinKode 阅读(78) 评论(0) 推荐(0)

逻辑越权之水平垂直越权

摘要：水平越权登录kobe账户，点击查看个人信息，burp抓包把Kobe换成Lucy 如何查看水平用户，你可以自己注册两个用户，或者注册用户时显示用户已存在，或者查看其他用户发的评论等等垂直越权登录管理员账号添加用户抓包，数据包to repeater 登录普通用户账号找到普通用户cookie值阅读全文

posted @ 2023-09-18 16:51 TinKode 阅读(36) 评论(0) 推荐(0)

DVWA靶场通关-Weak Session IDs（弱会话IDs）

摘要：当用户登录后，在服务器就会创建一个会话(session)，叫做会话控制，接着访问页面的时候就不用登录，只需要携带Sesion去访问。 Session利用的实质：由于SessionID是用户登录之后才持有的唯一认证凭证，因此黑客不需要再攻击登陆过程(比如密码)，就可以轻易获取访问权限，无需登录密码阅读全文

posted @ 2023-09-18 15:08 TinKode 阅读(48) 评论(0) 推荐(0)

DVWA靶场通关-XSS

摘要： Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、 File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、 SQL Injection（SQL注入）、SQL 阅读全文

posted @ 2023-09-18 15:04 TinKode 阅读(107) 评论(0) 推荐(0)

DVWA靶场通关- SQL Injection（SQL注入）

摘要： Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、 File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、 SQL Injection（SQL注入）、SQL 阅读全文

posted @ 2023-09-18 14:40 TinKode 阅读(137) 评论(0) 推荐(0)

2023年9月17日

DVWA靶场通关-Insecure CAPTCHA （不安全的验证码）

摘要： Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、 File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、 SQL Injection（SQL注入）、SQL 阅读全文

posted @ 2023-09-17 21:02 TinKode 阅读(307) 评论(0) 推荐(0)

DVWA靶场通关-File Upload（文件上传）

摘要： Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、 File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、 SQL Injection（SQL注入）、SQL 阅读全文

posted @ 2023-09-17 20:39 TinKode 阅读(429) 评论(0) 推荐(0)

DVWA靶场通关-File Inclusion（文件包含）

摘要： Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、 File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、 SQL Injection（SQL注入）、SQL 阅读全文

posted @ 2023-09-17 19:57 TinKode 阅读(232) 评论(0) 推荐(0)

DVWA靶场通关-CSRF（跨站请求伪造）

摘要： Brute Force（暴力（破解））、Command Injection（命令行注入）、CSRF（跨站请求伪造）、 File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA （不安全的验证码）、 SQL Injection（SQL注入）、SQL 阅读全文

posted @ 2023-09-17 19:05 TinKode 阅读(415) 评论(0) 推荐(0)