2022年9月10日
vulhub漏洞复现 Mysql 身份认证绕过漏洞(CVE-2012-2122)
摘要: 查找有关CVE漏洞`find /root/vulhub/ -type d -name "CVE*"` ###1. 拉取环境 输入`docker-compose up -d` ![](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApQAAAD6CAYAA 阅读全文
posted @ 2022-09-10 19:39 无翼鸾 阅读(983) 评论(0) 推荐(0) 编辑
2022年9月3日
sqli-labs2-10
摘要: ##第二关 ###1. 判断是否存在注入 输入?id=1 可以看出存在注入 ###2. 判断什么类型的注入 输入?id=1' 发现出现错误提示,说明单引号影响了闭合,为数字型注入 说明其他步骤和第一关相似,只需要把第一关中的单引号去掉即可 ##第三关 输入?id=1' 出现错误提示 输入?id=1' 阅读全文
posted @ 2022-09-03 22:00 无翼鸾 阅读(26) 评论(0) 推荐(0) 编辑
sqli-labs第一关
摘要: #sqli-labs通关记录 ###1.判断是否可以注入 输入?id=1 输入?id=2 由此可以判断出可以进行注入 ###2.判断什么类型的注入 输入?id=1' 输入?id=1' --+ 可以看出第一次输入结果出现错误,第二次输入页面回显正常,说明是单引号字符型注入 ###3. 判断数据列数 输 阅读全文
posted @ 2022-09-03 00:47 无翼鸾 阅读(44) 评论(0) 推荐(0) 编辑
2022年8月25日
网络安全学习网站
摘要: ##国内 Frebuf https://www.freebuf.com/ 安全脉搏 https://www.secpulse.com/ 先知社区 https://www.secpulse.com/ seebug https://paper.seebug.org/ ##国外 OWASP https:/ 阅读全文
posted @ 2022-08-25 21:17 无翼鸾 阅读(250) 评论(0) 推荐(0) 编辑
2022年8月24日
初学web安全
摘要: ##1.什么是SQL注入、特征是什么、有哪些类型 (bypass waf Tips ?) ###什么是SQL注入: 简单来说就是通过给web程序中定义好的sql语句进行添加额外的sql语句,来实现一种骗取数据库来进行查询操作,从而得到数据据信息。 ###特征: 1、广泛性:任何一个基于SQL语言的数 阅读全文
posted @ 2022-08-24 00:30 无翼鸾 阅读(42) 评论(0) 推荐(0) 编辑
2022年8月23日
上传错误
摘要: 上传错误 低级上传错误: 由于设计者未对上传文件进行限制,可以通过直接通过编码文件对网页进行入侵。 中级上传错误: 设计者对上传文件进行了限制操作,可以设置网页代理,通过Born Suit进行拦截。使用菜刀等工具对上传的文件mime类型进行修改即可绕过限制。 高级上传错误: 设计者对文件的后缀名进行 阅读全文
posted @ 2022-08-23 23:17 无翼鸾 阅读(67) 评论(0) 推荐(0) 编辑
SQL注入
摘要: SQL注入 1.sql原理: 网页进行输入程序时使用了sql语句访问数据库,因为未对输入的内容进行筛选操作,所以可以直接通过输入参数来对网页的数据库进行攻击。 2.注入流程: 以DVWA为例子 ###1.判断是否有注入漏洞 正常输入1 输入' 页面报错,说明有注入点 ###2. 基于布尔的注入 输入 阅读全文
posted @ 2022-08-23 22:24 无翼鸾 阅读(222) 评论(0) 推荐(0) 编辑
点击右上角即可分享
微信分享提示