随笔分类 - 漏洞挖掘
摘要:可能存在的漏洞 是否进行验证 简要流程 SQL注入 不仅如此,还在多处进行了过滤检查 解决方法:正在尝试是否有漏网之鱼,直接 request 接收过来之后 进行拼接。 XSS X 任意文件删除漏洞 √ 可直接burp抓包构造,删除任意文件 目录遍历漏洞 X 无法上传文件,正在尝试别的思路 后台get
阅读全文
摘要:刷漏洞,抓鸡必备,,,,,,, 参考文章: https://blog.csdn.net/wwl012345/article/details/96998187 肝,,,,太全了,,, ps : 我不是脚本小子!!微笑.gif
阅读全文
摘要:昨天晚上大概六七点种群里爆出来的消息,,从fofa上面找了几个都不行,以为是假的,,就没太在意,后来不少群友都复现成功,(他们从shodan上面,成功率非常高),遂引起重视 众所周知,腾讯云一直和宝塔面板很配,并且像宝塔面板这种知名度还可以的网站搭建平台,应该会造成比较大的影响,于是开始了挖洞之旅;
阅读全文
摘要:今天整了一天这个AWVS批量扫描脚本,主要是下了好几个版本的AWVS,都不稳定,一次次删除又一次次安装。 做这件事儿目的就是为了批量刷漏洞,不过弄好之后又不打算刷漏洞了,不太喜欢无脑刷漏洞,没什么意义,并且现在水平也不是很高,先踏实学习吧。 这个文章目的就是记录一下整体的思路。 要想较为高效的刷漏洞
阅读全文
摘要:群里师傅分享了个挖洞的视频,搜了一下,大概就是基于这篇文章录的 https://xz.aliyun.com/t/7047 (小声哔哔一下,不得不说,阿里云先知社区和360酒仙桥六号部队公众号这两个地方发布的文章,质量真的很高,干货很多) 以前看过一篇 burpsuite 和 xray 联动一起挖漏洞
阅读全文
摘要:测试是否存在post注入 第一种方法 直接加--form让它自动加载表单 第二种方法 把form表单里面提交的内容复制出来,放到data中跑 第三种方法 先用burp suite抓包,把包的内容存到本地,再用sqlmap跑本地的包 视频教程地址:https://www.bilibili.com/vi
阅读全文
