摘要:
xss-labs漏洞练习 上一次我们练习了文件上传的漏洞,今天我们来看看这个xss跨站攻击漏洞,这个漏洞的作用就是通过在web 站点,向客户端交付恶意脚本代码,实现对客户端的攻击。 xss漏洞分为反射型,存储型,DOM型 第一关: 我们先来查看这一关,看到链接后面有一个name=test,当我们改变 阅读全文
摘要:
文件上传训练: 在做完了sqli-labs 之后,咋们来看看这个上传文件的题。 第一关: 他的界面直接提示着,请选择上传的图片,肯定就会有过滤的,咋们先上传一个.php文件试试水。果然,报错了,说是上传jpg,gif,png 格式的文件,好办,去bp上修改一下,查看源码,这儿是前端验证。如果是前端验 阅读全文
摘要:
Sqli-labs注入训练(page-3) Less-38:Less-39:Less-40:Less-41: 这几关都是堆叠注入的应用,堆叠注入,顾名思义,就是使用分号将注入语句分开,多次注入,创建新的用户,或者删除用户,创造无限可能。但是需要知道一些数据。 他也有很多的局限性,比如权限不够,或者收 阅读全文
摘要:
Sqli-Labs-master 注入训练(Page-2) 欧克,我们来到了第二大关,让我们开始吧! Less-23: 这一关和第一大关的前面一些题比较像,首先输入?id=1,我们尝试输入单引号,发现报错了,这儿有注入,我输入一个双引号,后面加上--+ ,不报错了,经过多次尝试发现,报错的不明不白, 阅读全文
摘要:
Sqli-Labs-master 注入训练(Page-1) 咋们直接从第二关开始练习 Less-2: 第二关在 id=1 后面直接加一个单引号,报错,所以知道查询语句整体是有的单引号闭合的,所以后面直接跟order by 3--+,正常回显,order by 4--+,报错,超出范围,将id改为-1 阅读全文
