这是本萌新第一次写博客,作为对前面的学习的总结。 如有错误,欢迎各位师傅们指正。 如何判断注入类型我就不做过多的解释,不知道同学请移步去学习(手动狗头)。 CTF中的SQL注入 我采用的是手注 根据经验判断是字符型注入。 接下来就来查看有几列,order by后面依次跟1,2,3,4…当到4时
SSRF漏洞 声明 好好向大佬们学习!!! 攻击 SSRF Training 摘自 https://book.nu1l.com/tasks/#/ 使用BUUCTF在线环境 https://buuoj.cn/challenges 访问 http://72b1f71b-d44d-4562-8bac-db517053ebc4.node3.buuoj.cn 还挺像素的,点了一圈都没用,也就intersting challenge能点
命令执行漏洞 声明 好好向大佬们学习!!! 攻击 命令执行漏洞 摘自 https://book.nu1l.com/tasks/#/ 使用BUUCTF在线环境 https://buuoj.cn/challenges 注意,这一节,需要一台公网服务器用于反弹shell,贴心的BUUCTF还给我们准备了和靶机在同一网段内网的服务器,但是,一个账号只能创建
XSS的魔力 声明 好好向大佬们学习!!! 攻击 XSS的魔力 这简直就是一场javascript的代码审计心酸历程 摘自 https://book.nu1l.com/tasks/#/ https://blog.csdn.net/hxhxhxhxx/article/details/112784856 https://blog.csdn.net/rfrder/article/details/108930033 使用BUUCTF在
Web文件上传漏洞 声明 好好向大佬们学习!!! 攻击 文件上传漏洞 摘自 https://book.nu1l.com/tasks/#/ 使用BUUCTF在线环境 https://buuoj.cn/challenges 访问 http://3e8b5e24-d936-4a8f-9d1b-15ee36321db8.node3.buuoj.cn 一个上传文件功能,随便点点看,点到了提交查询,发现
