shacker_shen

导航

2022年2月21日 #

攻防世界之Web_php_include

摘要: 题目: 解题思路: 直接给出源码,由代码可知此题应该为文件包含,而且应该利用php伪协议 strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回FALSE 可以采用http://协议进行绕过利用hello参数将执行内容显示,如图所示得到flag http:/ 阅读全文

posted @ 2022-02-21 23:07 shacker_shen 阅读(37) 评论(0) 推荐(0) 编辑

渗透测试工具篇之目录扫描工具dirmap

摘要: (一)dirmap介绍 一个高级web目录扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑 (二)dirmap安装 打开浏览器输入https://github.com/进入官网搜dirmap 选择第一个点击Code,复制url 打开kali linux虚拟机 打开一 阅读全文

posted @ 2022-02-21 22:05 shacker_shen 阅读(5065) 评论(0) 推荐(0) 编辑

攻防世界之Web_PHP2

摘要: 题目: 扫描目录发现index.phps,进入查看发现源码。 代码审计:GET传一个id,id通过url解码后为admin,所以传?id=admin 通过url加密两次的值 使用burpsuite编码模块 输入得到flag. 阅读全文

posted @ 2022-02-21 17:59 shacker_shen 阅读(29) 评论(0) 推荐(0) 编辑

渗透测试之SQL注入(上篇)

摘要: 题记: 本来今天想把白天刷的攻防世界Web进阶的做个总结,结果估计服务器抽疯环境老报错,然后想了下今天用到了SQL注入,文件上传等等,写写心得。相信很多朋友都一直想学好渗透,然后看到各种入门视频,入门书籍,零基础XXX,从入门到放弃,收藏即学完,东一块西一块的,本人也一样,不过当做攻防世界的web题 阅读全文

posted @ 2022-02-21 00:16 shacker_shen 阅读(220) 评论(0) 推荐(0) 编辑