蜗牛真理

导航

2020年10月12日

目录穿越

摘要: 目录穿越,也就是目录遍历,当前都是通过变量传递给服务器以访问想要的资源,如果其传递的内容直接与资源目录拼接,就很是容易出现次安全问题。 绝对路径直接读取 如=/etc/passwd 剥离../ 如....//....//...//etc//passwd 多余url编码 如可以二次url编码../ 验 阅读全文

posted @ 2020-10-12 14:43 蜗牛真理 阅读(732) 评论(0) 推荐(0) 编辑

SQLmap

摘要: 获取目标方式 -u 读取一个直接输入的url -m 批量读取一个TXT文件里的url -r 读取一个TXT文件里的信息,如保存请求头为一个文本文件以进行注入读取 -l 读取日志文件里的目标,如bp联动 -g 读取谷歌浏览前一百条中的注入点 请求 --level 3 设定3级即可尝试注入user-ag 阅读全文

posted @ 2020-10-12 10:00 蜗牛真理 阅读(75) 评论(0) 推荐(0) 编辑