摘要:
好久没有更新了,这段时间博主忙着学习和打靶场去了,以及处理学校里面的一些琐事。现在打的也差不多了,就将从中用到的工具和学到的知识做一个总结,篇幅太大,所以我分成好几篇来写,都放在《打靶学习总结里面》,好了,废话不多说,直接进入正题 目录扫描可以用dirsearch 安装之前建议先更新,更新要进入超级 阅读全文
posted @ 2024-04-13 10:55
CLLWA
阅读(222)
评论(1)
推荐(0)
摘要:
打开就是这样的界面 打开Testing 点击edit this page ,发现有留言的功能,于是想到经典xss: <script>alert()</script> 点击保存了之后,出现在页面上面,但是没有弹窗 点击go home,出现弹窗,获得第一个flag 在刚刚编辑框的内容里面填上xss语句 阅读全文
posted @ 2024-02-03 09:22
CLLWA
阅读(61)
评论(0)
推荐(0)
摘要:
如何检测 SQL 注入漏洞您可以使用一组针对应用程序中每个入口点的系统测试来手动检测 SQL 注入。为此,您通常需要提交:单引号字符,并查找错误或其他异常。'一些特定于 SQL 的语法,这些语法的计算结果为入口点的基本(原始)值和不同的值,并在应用程序响应中查找系统差异。布尔条件,例如 和 ,并查找 阅读全文
posted @ 2024-01-31 10:14
CLLWA
阅读(22)
评论(0)
推荐(0)
摘要:
什么是操作系统命令注入?OS 命令注入也称为 shell 注入。它允许攻击者在运行应用程序的服务器上执行操作系统 (OS) 命令,并且通常会完全破坏应用程序及其数据。通常,攻击者可以利用操作系统命令注入漏洞来破坏托管基础结构的其他部分,并利用信任关系将攻击转移到组织内的其他系统。有用的命令识别出操作 阅读全文
posted @ 2024-01-31 10:14
CLLWA
阅读(65)
评论(0)
推荐(0)
摘要:
什么是文件上传漏洞?文件上传漏洞是指 Web 服务器允许用户将文件上传到其文件系统,而无需充分验证其名称、类型、内容或大小等内容。如果不能正确实施限制,可能意味着即使是基本的图片上传功能也可用于上传任意和有潜在危险的文件。这甚至可能包括支持远程代码执行的服务器端脚本文件。在某些情况下,上传文件的行为 阅读全文
posted @ 2024-01-31 10:14
CLLWA
阅读(32)
评论(0)
推荐(0)
摘要:
什么是SSRF?服务器端请求伪造是一种 Web 安全漏洞,它允许攻击者使服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能导致服务器与组织基础结构中的仅限内部的服务建立连接。在其他情况下,它们可能能够强制服务器连接到任意外部系统。这可能会泄露敏感数据,例如授权凭据。在此示例 阅读全文
posted @ 2024-01-31 10:13
CLLWA
阅读(69)
评论(0)
推荐(0)
摘要:
身份验证漏洞从概念上讲,身份验证漏洞很容易理解。但是,由于身份验证和安全性之间存在明确的关系,它们通常至关重要。身份验证漏洞可能允许攻击者访问敏感数据和功能。它们还暴露了额外的攻击面,以便进一步利用。因此,了解如何识别和利用身份验证漏洞以及如何绕过常见的保护措施非常重要。身份验证和授权有什么区别?身 阅读全文
posted @ 2024-01-31 10:13
CLLWA
阅读(22)
评论(0)
推荐(0)
摘要:
什么是访问控制?访问控制是对谁或什么有权执行操作或访问资源的约束的应用。在 Web 应用程序的上下文中,访问控制依赖于身份验证和会话管理:身份验证确认用户是他们所说的人。会话管理可识别同一用户正在发出哪些后续 HTTP 请求。访问控制确定是否允许用户执行他们尝试执行的操作。损坏的访问控制很常见,并且 阅读全文
posted @ 2024-01-31 10:12
CLLWA
阅读(37)
评论(0)
推荐(0)
摘要:
靶机地址 链接:https://pan.baidu.com/s/1nzCn2aRw88HpuhC3YIPUVg?pwd=hack 提取码:hack 导入 打开虚拟机,导入test即可 调整网卡配置为nat 开机 展示界面如下 探测靶机ip 方法一: 使用 arp-scan -l 检查当前靶机的 ma 阅读全文
posted @ 2024-01-22 20:11
CLLWA
阅读(49)
评论(0)
推荐(0)
摘要:
端口是英文port的意译,可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口,其中虚拟端口指计算机内部或交换机路由器内的端口,不可见。例如计算机中的80端口(web服务)、 21端口(ftp)、23端口(telnet)等。物理端口又称为接口,是可见端口,计算机背板的RJ45网口,交换机 阅读全文
posted @ 2024-01-22 19:13
CLLWA
阅读(102)
评论(0)
推荐(0)
浙公网安备 33010602011771号