摘要: 安装vmware 首先就是下载VMware客户端了,Vmware是收费的,过好大多数都有破解版,或者激活码 这里我是用的是VMware16,下载在网上搜一下就有,例如 下载解压后里面有一个后缀为exe的安装程序,运行程序进行安装vmware 稍等片刻,进入安装向导界面 选择安装路径,也可以默认 最后 阅读全文
posted @ 2022-05-24 12:40 Junglezt 阅读(391) 评论(0) 推荐(0) 编辑
摘要: 文件包含漏洞,当我们在一个代码文件想要引入、嵌套另一个代码文件的时候,就是文件包含。 常见的文件包含函数有include require等函数。 这两个函数的区别就是include在包含文件不存在时php代码会继续往下执行,而require则终止php代码的执行 Include:包含一个文件 Inc 阅读全文
posted @ 2022-05-18 21:35 Junglezt 阅读(192) 评论(0) 推荐(0) 编辑
摘要: csrf(Cross-site request forgery)跨站请求伪造:攻击者诱导用户访问第三方网站,在第三方网站中携带恶意代码,向被攻击者发送请求 原理可以这样来说 用户在访问了一个后台管理网站后,例如用户更改密码,但是更改密码需要登录认证的,用户在登录后,浏览器会保存认证一段时间,叫做co 阅读全文
posted @ 2022-05-13 15:16 Junglezt 阅读(156) 评论(0) 推荐(0) 编辑
摘要: 命令执行漏洞,顾名思义,服务端在进行一些网站的操作、管理的时候,需要调用系统命令,如果对传入的命令参数没有进行一些过滤,可以直接执行服务器系统的命令终端 LOW 审计源码 <?php // 判断是否提交了 Submit if( isset( $_POST[ 'Submit' ] ) ) { // 获 阅读全文
posted @ 2022-05-12 11:39 Junglezt 阅读(514) 评论(0) 推荐(0) 编辑
摘要: 暴力破解漏洞,没有对登录框做登录限制,攻击者可以不断的尝试暴力枚举用户名和密码 LOW 审计源码 <?php // 通过GET请求获取Login传参, // isset判断一个变量是否已设置,判断方法是变量是否为null if( isset( $_GET[ 'Login' ] ) ) { // 获取 阅读全文
posted @ 2022-05-10 14:10 Junglezt 阅读(133) 评论(0) 推荐(0) 编辑
摘要: DVWA是一个新手练习Web安全很好的测试平台,官网下载请见https://dvwa.co.uk/ 想要练习,首先需要搭建,对于小白来说,搭建一个平台可能有一点点费劲,网上有很多大佬的教程,这里我总结一些我的搭建过程 只需要安装phpstudy然后将下载的dvwa压缩包解压到phpstudy安装目录 阅读全文
posted @ 2022-05-08 16:00 Junglezt 阅读(347) 评论(0) 推荐(0) 编辑
摘要: 任务栏设置 任务栏居中 由于windows默认的程序是从左往右显示,看着可能有一点不舒服,当然如果使用习惯的话,忽然居中,可能更不舒服 首先搜索字符映射表 点击字符映设表中第五行的空白字符,选择进行复制 创建文件夹,将文件夹的名称改为复制的空白字符 这时就得到一个空格文件夹名,然后右键任务栏 -> 阅读全文
posted @ 2022-05-06 18:17 Junglezt 阅读(935) 评论(0) 推荐(0) 编辑
摘要: File include(文件包含) Example 1 没有任何过滤 审计源码 没有对我们传参的page进行任何过滤,payload如下 http://172.16.1.104/fileincl/example1.php?page=http://172.16.1.102/info.txt 本机in 阅读全文
posted @ 2022-04-18 14:59 Junglezt 阅读(88) 评论(2) 推荐(1) 编辑
摘要: SQL injections Example 1 典型的SQL注入 name=root' or 1=1 %23 直接执行就可以导出所有用户 查看后端的源码 观察到,我们传入入的name中,传入就成为了'root',所以我们root' %23就是root' #可以闭合成功 这里由于后面也有一个',所以 阅读全文
posted @ 2022-04-16 15:49 Junglezt 阅读(105) 评论(0) 推荐(0) 编辑
摘要: Web For Pentester是集成了一些简单的Web常见漏洞的靶场,其中有常见的XSS 文件上传 SQL注入 文件包含等常见漏洞,类似于DVWA Web For Pentester搭建 Web For Pentester官方直接提供了一个ISO的镜像文件 下载地址:https://www.pe 阅读全文
posted @ 2022-04-15 11:29 Junglezt 阅读(922) 评论(0) 推荐(0) 编辑