摘要:
执行SQL语句:SET GLOBAL general_log = ON 阅读全文
摘要:
pc端下载:pip install frida 之后就是在手机端或者模拟器下载对应版本的server 在手机或者模拟器上查看cpu版本型号,就根据这个来下载server system/build.prop https://github.com/frida/frida/releases下载对应版本的s 阅读全文
摘要:
drozer启动: 1)首先在模拟 器或者安卓设备上开启drozer; 2)然后打开adb,转发端口: adb forward tcp:31415 tcp:31415 3)在电脑上开启drozer: drozer.bat console connect drozer具体使用: 1.使用list命令查 阅读全文
摘要:
首先先检查你的手机或者模拟器是否开启了drozer agent 安装出现的问题: (1)找不到java路径: 解决方法:新建一个TXT文件,在文件中写如下内容: [executables] java =C:\Program Files (x86)\Java\jdk1.8.0_191\bin\java 阅读全文
摘要:
1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。 2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,或者删除所有空格,如 阅读全文
摘要:
原理:XML外部实体注入,简称XXE漏洞,XML数据在传输中数据被修改,服务器执行被恶意插入的代码。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 XML简介:XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据 阅读全文
摘要:
利用docker复现该漏洞,访问http://192.168.80.156:8080/phpinfo.php,可以看到页面出现phpinfo页面 再访问http://192.168.80.156:8080/lfi.php?file=/etc/passwd,可以看到该页面是存在文件包含漏洞的。 先讲一 阅读全文
摘要:
Low等级 image image 抓包 image image 正常跳转 image image image image 在这里我们把密码改为qwer image image image image image image image image image image 成功进入了DVWA ima 阅读全文
摘要:
网上常用的编辑器有ewebeditor,FCK,DotNetTextBox等,这里只介绍几个常用的。 Ewebeditor:基于浏览器的,所见即所得的在线HTML编辑器 默认后台:ewebeditor/admin_login.asp 默认数据库:ewebeditor/db/ewebeditor.md 阅读全文
摘要:
漏洞原理:csrf全名为跨站请求伪造,是一种对网站的恶意利用,虽然听起来和xss很像,但是它们俩还是有很大的区别的。csrf是通过伪造来自受信任用户的请求来利用受信任的网站。 比如: 一个有csrf漏洞的A网站,网站B是攻击者构造的一个恶意网站,当用户没有退出A网站,或者用户登陆A网站的cookie 阅读全文