Flonan.o-CSDN博客

原创 pikachu注入漏洞演示3

sql-inject 漏洞-盲注盲注：基于真假的盲注先用字符串测试一下发现不行再试试因为kobe存在，and 1=1为真所以被写入后台，所以存在sql注入用之前基于报错的payload来试一下 kobe’ and extractvalue(0,concat(0x7e,version()))# 不行获取数据库名称，取第一个字符转成ascii码，转成ascii码之后就...

2019-04-06 12:05:32 1828

原创虚拟机VMware安装Kali Linux

一、创建新的虚拟机 1.创建虚拟机 2.导入镜像文件 3.选择客户机系统，可能会提示错误不能用，不用管接着往下安装 4.输入虚拟机的名称和安装位置 5.点击下一步直至出现以下界面。为虚拟机分配内存，建议不要超过提示的最大推荐内存，这里分配2048MB 6.继续点击下一步，使用推荐选项，直至出现磁盘容量分配。一定要比建议分配容量大二、安装Kali Linux 1.开启虚拟机，进入安装界...

2019-04-01 20:19:44 814

原创【白帽子讲web安全】文件上传漏洞

8 文件上传漏洞文件上传漏洞一般指上传web脚本能够被服务器解析要完成这个攻击，需要满足几个条件： 1.上传的文件能够被web容器解释执行。所以文件上传后所在的目录要是web容器所覆盖到的路径。 2.用户能从web上访问这个文件。 3.用户上传的文件若被安全检查、格式化、图片压缩等功能改变了内容，则也可能导致攻击不成功。 ...

2019-04-01 20:06:13 402

原创 burpSuite及pikachu注入漏洞演示2

union 注入只有知道正确的字段数才能去拼接union 如何去猜对应查询的字段数：在sql中用order by 进行猜测 order by 1 查询结果按照第一列进行排序 order by 2 查询结果按照第二列进行排序在实际的猜测中可以用二分法进行测试用5试一下报错用3试一下不对用2试一下对了证实主查询里只有2个字段接下来用union去做拼接 xx’union ...

2019-04-01 20:04:37 952

原创继续熟悉burpSuite及pikachu注入漏洞演示

看到源码，构造闭合看不到源码，就结合经验和想象去尝试性地去做一些payload去测试，根据返回结果去判断 ·用 or 1=1 判断是否存在注入数字型注入利用输入点先查到信息前端输入逻辑发送到repeater做重放测试修改拼接 payload 所有的用户全部显示了出来字符型注入 kobe’ or 1=1#’ 形成闭合，最后的 ’ 被 # 注释掉了搜索型注入演示： ...

2019-03-24 19:28:26 1105

原创【白帽子讲Web安全】注入攻击

7 注入攻击两个关键条件：第一个是用户能够控制输入。第二个是原本程序要执行的代码，拼接了用户输入的数据。 7.1 SQL注入在拼接的过程中导致代码注入，也可利用错误回显进行注入。 7.1.1 盲注盲注，即在服务器没有错误回显时进行的注入攻击，常用的方法：构造简单的条件语句，根据返回页面是否发生变化，来判断SQL语句是否执行。在攻击者构造条件 “and 1=1” 时。如果页面正常返回，...

2019-03-24 19:22:08 349

原创初步熟悉掌握使用burpsuite

burpsuite主页面在这里插入图片描述 2.利用Proxy进行抓包在这里插入图片描述 3.对网站进行破解在这里插入图片描述 4.导入username和password进行测试在这里插入图片描述在这里插入图片描述 5.start attack 在这里插入图片描述测试出第一个长度和其他的不一样，即为正确的账号密码 ...

2019-03-24 19:19:30 288

SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击． SQL注入的发生：当应用程序使用输入内容来构造动态sql语句以访问数据库时，会发生sql注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的...

2019-03-17 11:25:20 731

原创 burpsuite安装教程

1.打开jar文件 2.run 3.复制license到burpsuite professional 点击next 4.点击Manual activation 5.把burpsuite professional 2的代码复制到 6.把Activation Response 中的代码复制到burpsuite professional 3 7.点击next finish 8.点击le...

2019-03-17 11:16:15 2082

原创 phpstudy安装教程

1.下载phpstudy 2.安装文件 3.把pikachu文件解压到phpstudy-phptutorial-WWW 文件名字改成pikachu 4.启动 MySQL管理器输入账号密码确定 5.打开浏览器输入127.0.0.1/pikachu 测试一下 6.进行初始化 ...

2019-03-17 11:11:57 2624

转载【Hyper-V】Windows10家庭版安装Hyper-V虚拟机

一、先查看电脑配置是否满足要求。 1.CPU支持数据执行保护（DEP）。 2.CPU支持硬件虚拟化技术。 3.CPU64位处理器。 4.内存最低限度为2GB。针对个人电脑，除了以上几个要求外，CPU还必须支持二级地址转换，否则，是无法添加Hyper-V的。可以使用Coreinfo工具软件 (下载地址）来查看电脑是否支持Hyper-V，这是微软SysinternalsSuite工具软件套件中的一...

2019-03-10 14:33:03 856