摘要: Z-blog csrf 环境搭建 1. 首先我在本地搭了一个z-blog。 ​ 思路:csrf并不侧重于哪种功能点,只要检测不规范,就可能利用成功,所以我考虑了一下后台添加管理员的地方。 数据包构造 我用了csrftext这款工具,抓包构造了一个跨站数据包。 3. 获得的数据包如下 可以发现是我提交 阅读全文
posted @ 2022-04-02 17:57 Ray言午 阅读(474) 评论(0) 推荐(0) 编辑
摘要: 原理 CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a),操作系统就是根据这个标识来进行换行的。但是如果对输入过滤不严,就会将恶意语句注入到http请求数据包中。 案例 使用vulhub靶场 cd /vulhub-master/nginx 阅读全文
posted @ 2022-04-02 16:39 Ray言午 阅读(573) 评论(0) 推荐(0) 编辑