摘要:
数字型注入(post) 首先选择一个提交看看效果,并且抓包分析查看用什么方式进行提交 通过burp很清晰看出使用的是post提交,我们发送到repeater 尝试寻找注入 使用 1 or 1=1 看到返回了所有用户 接下来就可以使用order by进行查找,通过查找有2列 那么就配合union进行查 阅读全文
posted @ 2022-11-14 22:04
诗酒于人
阅读(30)
评论(0)
推荐(0)
摘要:
反射型xss(get) 先尝试最简单的payload,发现不能输入了,查看html代码定位到这个输入框发现最大长度只能输入20 直接通过修改html源代码,将payload输入完毕,完成漏洞 反射性xss(post) 根据提示输入用户名和密码,此处的用户名和密码由之前的爆破得到 进入之后我们输入pa 阅读全文
posted @ 2022-11-14 22:02
诗酒于人
阅读(42)
评论(0)
推荐(0)
摘要:
基于表单的暴力破解 这题比较简单,知道用户名有admin,pikachu,test,根据用户名使用burp进行抓包爆破密码即可,若不知道账号可以使用账户字典+密码字典同时进行爆破 验证码绕过(on server) 假设已知用户名admin,密码不知道,乱输,按照图片输入验证码,点击提交进行抓包,先将 阅读全文
posted @ 2022-11-14 21:57
诗酒于人
阅读(100)
评论(0)
推荐(0)
浙公网安备 33010602011771号