摘要: 0x00 产生的原因 通过引入文件时,用户可控,没有严格的检验,或是被绕过,操作一些敏感文件,导致文件泄露和恶意代码注入 当包含文件在服务器本地上,就形成本地文件包含,当包含的文件在第三方服务器是,就形成可远程文件包含。 0x01 关于文件上传资料查询 1、php伪协议 读取文件 可将一些恶意代码写 阅读全文
posted @ 2019-11-30 21:26 dx670 阅读(185) 评论(0) 推荐(0) 编辑
摘要: csrf,跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转 阅读全文
posted @ 2019-11-30 21:03 dx670 阅读(326) 评论(0) 推荐(0) 编辑
摘要: command execution 大致浏览了一些博客,命令注入的关键是绕过过滤与对linux的命令的熟悉,只有熟悉才有可能对其进行注入 1、low <?php if( isset( $_POST[ 'submit' ] ) ) { $target = $_REQUEST[ 'ip' ]; // D 阅读全文
posted @ 2019-11-30 20:34 dx670 阅读(337) 评论(0) 推荐(0) 编辑
摘要: brute force指暴力破解,列举出所有可能,并一一进行尝试 爆破用户名和密码,利用了burpsuit的抓包和爆破 burpsuite里intruder的四种攻击模式:https://howiezhao.github.io/2018/05/01/burpsuite-intruder-attack 阅读全文
posted @ 2019-11-30 18:13 dx670 阅读(203) 评论(0) 推荐(0) 编辑