摘要:
代码审计学习—zzcms存储型xss 版本:zzcms 201910 本地搭建网站 漏洞位置: 网站/inc/function.php 在stripfxg函数中,存在使用方法 htmlspecialchars_decode($string),对htmlspecialchars ($string) 过 阅读全文
posted @ 2020-06-27 17:55
-ME
阅读(617)
评论(0)
推荐(0)
摘要:
实验环境:本地靶场 验证码错误时,服务器端会重新生成验证码,不能使用burpsuite进行暴力破解; 我们使用python脚本对验证码进行识别,然后进行暴力破解。 验证码图片识别: from PIL import Image import tesserocr s = requests.sessi 阅读全文
posted @ 2020-06-14 12:27
-ME
阅读(1722)
评论(0)
推荐(0)
摘要:
本地搭建sql注入网站练习 测试安全狗,输入不合法参数被安全狗拦截: 使用sqlmap: 检测到防护机制,失败; 先手工尝试绕过安全狗: 将空格替换为 “/*//\*//\*\/c*/” 成功绕过安全狗; 写个sqlmap脚本: #demo.py def tamper(paylo 阅读全文
posted @ 2020-05-27 13:31
-ME
阅读(223)
评论(0)
推荐(0)
摘要:
AreUSerialz 题目直接给出源码: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; 阅读全文
posted @ 2020-05-19 14:29
-ME
阅读(236)
评论(0)
推荐(0)
浙公网安备 33010602011771号