摘要:
11-16文件上传靶场 第11关 提示只允许上传jpg、png、gif类型 第十二关 解题思路: Pass-11的防护方法是将出现在黑名单中的后缀名替换成空白字符串,但无论文件名是否被匹配都会被上传。鉴于源代码中只过滤了一次,我们可以使用双写绕过方法上传(如:.jjspsp)。这样str_irepl 阅读全文
posted @ 2022-08-29 21:04
yjjgyui
阅读(144)
评论(0)
推荐(0)
摘要:
1-3文件上传漏洞 第一关 查看源代码 js前端验证 上传查看回显效果 先上传php木马,提示不能上传;只能上传jpg、png、gif为后缀得文件,那么把木马文件得php后缀改为png,使用burp抓包更改后缀名为php 上传成功 第二关 和第一关的思路一样,先上传php木马,提示上传不成功 然后上 阅读全文
posted @ 2022-08-29 20:56
yjjgyui
阅读(59)
评论(0)
推荐(0)
摘要:
# 总结这几天的学习内容 # Pikachu的CSRF模块 apipost6(工具) # GET: 皮卡丘的网址,修改信息,进行抓包 最后总结:token token如何防止CSRF CSRF的主要问题是敏感操作的链接容易被伪造 每次请求,都增加一个随机码(需要够随机,不容易伪造),后台每次对随机码 阅读全文
posted @ 2022-08-23 21:07
yjjgyui
阅读(169)
评论(0)
推荐(0)
浙公网安备 33010602011771号