摘要:
Low等级 image image 抓包 image image 正常跳转 image image image image 在这里我们把密码改为qwer image image image image image image image image image image 成功进入了DVWA ima 阅读全文
摘要:
网上常用的编辑器有ewebeditor,FCK,DotNetTextBox等,这里只介绍几个常用的。 Ewebeditor:基于浏览器的,所见即所得的在线HTML编辑器 默认后台:ewebeditor/admin_login.asp 默认数据库:ewebeditor/db/ewebeditor.md 阅读全文
摘要:
漏洞原理:csrf全名为跨站请求伪造,是一种对网站的恶意利用,虽然听起来和xss很像,但是它们俩还是有很大的区别的。csrf是通过伪造来自受信任用户的请求来利用受信任的网站。 比如: 一个有csrf漏洞的A网站,网站B是攻击者构造的一个恶意网站,当用户没有退出A网站,或者用户登陆A网站的cookie 阅读全文
摘要:
原理:文件上传漏洞是指在需要上传文件的地方没有对上传的文件的格式进行过滤限制,从而导致恶意用户上传恶意文件,getshell。 防御:设置白名单,对用户上传的文件进行过滤限制 常用攻击方法: 1.结合服务器解析漏洞上传恶意文件(最后总结了一下常见服务器解析漏洞,不全,欢迎大家随时来补充) 2.利用图 阅读全文
摘要:
原理:由于开发人员在编写源代码时,没有对源代码中可执行的特殊函数入口做过滤,导致客户端可以提交一些cmd命令,并交由服务器程序执行。导致攻击者可以通过浏览器或者其他客户端软件提交一些cmd命令(或者bash命令)至服务器程序,服务器程序通过system、eval、exec等函数直接或者间接地调用cm 阅读全文
摘要:
概念:服务端在获取攻击者输入的url时,如果这个过程中,服务端并没有对这个url做任何的限制和过滤,那么就很有可能存在ssrf漏洞。 漏洞利用:SSRF攻击的目标一般是外网无法访问的内部系统。攻击者可以通过构造url对外网,服务器所在内网,本地进行端口扫描;攻击运行在内网或本地的应用程序;对内网we 阅读全文