摘要:
Web for pentester_writeup之File Upload篇 File Upload(文件上传) Example 1 直接上传一句话木马,使用蚁剑连接 成功连接,获取网站根目录 Example 2 可以看到上传文件做了相关限制,不允许上传PHP文件, 修改后缀名为linux不识别的x 阅读全文
posted @ 2019-08-08 18:01
只言
阅读(376)
评论(0)
推荐(0)
摘要:
Web for pentester_writeup之Commands injection篇 Commands injection(命令行注入) 代码注入和命令行注入有什么区别呢,代码注入涉及比较广泛,凡是由于过滤不严格或者是逻辑问题导致的可以插入恶意代码,都属于代码注入。而命令注入就局限于syste 阅读全文
posted @ 2019-08-08 15:28
只言
阅读(326)
评论(0)
推荐(0)
摘要:
Web for pentester_writeup之Code injection篇 Code injection(代码注入) Example 1 添加一个单引号 添加一个双引号 返回报错信息,分析可知执行了eval()程序 继续测试 这块有点复杂,我们先看一下源代码 可知eval实际执行的函数是 , 阅读全文
posted @ 2019-08-08 14:59
只言
阅读(412)
评论(0)
推荐(0)
摘要:
Web for pentester_writeup之File Include篇 File Include(文件包涵) Example 1 加一个单引号 从报错中我们可以获取如下信息: 当前文件执行的代码路径: 文件包含代码引用函数 代码引用的文件路径: = Payload 1 (本地文件包含LFI) 阅读全文
posted @ 2019-08-08 14:12
只言
阅读(522)
评论(0)
推荐(0)
摘要:
Markdown 编辑图片居中 示例: 注意,在博客园中如果直接在网页显示文本链接的话就在前面加一个空格即可 加空格前: 加空格后: 阅读全文
posted @ 2019-08-08 10:43
只言
阅读(6535)
评论(0)
推荐(1)
摘要:
Web for pentester_writeup之Directory traversal篇 Directory traversal(目录遍历) 目录遍历漏洞,这部分有三个例子,直接查看源代码 Example 1 测试输入 ,停留在本目录 测试输入 ,发现目录切换,猜测是返回上级目录 直接溯源到根目 阅读全文
posted @ 2019-08-08 10:42
只言
阅读(307)
评论(0)
推荐(0)
浙公网安备 33010602011771号