最新消息:

最新发布 第27页

即刻安全|致力于网络安全的研究学习平台

(三)DVWA文件上传漏洞源码审计
代码审计

(三)DVWA文件上传漏洞源码审计

Eternal 9年前 (2016-07-29) 7203浏览 0评论

UPLOAD (LOW) 这里我直接上传一个 PHP 文件,我们可以看到返回结果显示,文件已经成功上传!并给出了保存的路径信息。   我们直接打开低等级的源码进行分析。可以看到代码并未对上传的文件格式进行限制,而是将保存路径做了规定,将文...

(六)DVWA之CSRF漏洞源码审计
代码审计

(六)DVWA之CSRF漏洞源码审计

Eternal 9年前 (2016-07-29) 5431浏览 1评论

CSRF (LOW) 我们现在存有CSRF漏洞的提交框内输入要修改的密码,并进行提交! 开启FD进行抓包!将抓取的提交地址拷贝下来,保存成一个HTML文本。例如:http://xxxxx/加上拷贝的提交地址。此时,我们将这个 HTML 文本连同存在...

(四)DVWA之SQL注射漏洞源码审计
代码审计

(四)DVWA之SQL注射漏洞源码审计

Eternal 9年前 (2016-07-29) 5052浏览 0评论

SQL Injection (LOW) 我们直接在存在SQL注入的框内输入ID ,当我输入 1 时,这里直接反回了ID为 1 的用户名。 我们打开代码查看。可以看到代码对接受的 ID 并未过滤,并直接将接收的 ID 带入 SQL语句进行查询!并将结...

(五)DVWA之XSS注入漏洞源码审计
代码审计

(五)DVWA之XSS注入漏洞源码审计

Eternal 9年前 (2016-07-29) 5895浏览 1评论

XSS reflected (LOW) 在存在反射型XSS漏洞的框内,我们输入一段 HTML 代码,可以看到成功插入,并被执行!这说明该处存在XSS漏洞。 我们打开源码查看。可以看到代码未对输入内容进行过滤,只要不为空即为真便可以执行! (MED...

(一)DVWA文件包含漏洞源码审计
代码审计

(一)DVWA文件包含漏洞源码审计

Eternal 9年前 (2016-07-29) 6652浏览 1评论

File Inclusion (LOW) 当代码等级为低时,我们可以实现本地文件包含。例如我在当前目录下创建个 phpinfo.php 文件,并带入访问。可以看到成功读取该文件! 如果此时我们打开 PHP 配置文件内的 allow_url_incl...

(二)DVWA之命令执行漏洞源码审计
代码审计

(二)DVWA之命令执行漏洞源码审计

Eternal 9年前 (2016-07-29) 5827浏览 0评论

Command Execution (LOW) 在低级别下,我们在命令执行漏洞提交框,直接输入命令:127.0.0.1&&dir?,显示如下内容!系统命令被正确执行。 我们来打开源代码进行查看。可以看到在接受用户提交数据时,没有进...

服务器提权及Mimikatz密码获取
渗透测试

服务器提权及Mimikatz密码获取

Eternal 9年前 (2016-07-29) 11107浏览 0评论

Mimikatz是一款在内网渗透中,广泛使用的密码抓取神器。它类似于法国神器 getpass ,利用它我们可以在不修改和添加账户的情况下,直接获取管理员甚至域账户的密码。下面来简单演示下操作过程! 首先我们利用 msfvenom 来生成一个反弹she...

使用burp进行java反序列化攻击
Windows

使用burp进行java反序列化攻击

Eternal 9年前 (2016-07-28) 30921浏览 0评论

这篇文章主要讲解的是关于Java反序列化以及针对Java的Burp攻击插件(Java Serial Killer)。如果你想要下载这个插件,请直接忽略这篇文章,然后直接访问该项目的Github页面进行下载安装即可。 近期, 研究人员发现了大量的Ja...

Steganography文件隐写技术Windows+Kali
Windows

Steganography文件隐写技术Windows+Kali

Eternal 9年前 (2016-07-28) 10328浏览 0评论

今天给大家推荐个小工具?Steganography 。它具有隐写文件的功能,能有效地保护我们的一些敏感文件,不被轻易地发现。下面,我们来看看如何使用它。 首先我们下载它,下载地址: https://sourceforge.net/projects/s...

使用JSRAT远程管理win10系统
Windows

使用JSRAT远程管理win10系统

Eternal 9年前 (2016-07-28) 31209浏览 0评论

免责声明:本教程旨在帮助大家更好地理解和学习工具的使用。切勿非法使用!本站保留一切解释权!对于以此造成的一切法律问题及后果,本站概不负责! JSRAT是一个由Python编写的脚本,它可以实现对远程PC的shell管理。 首先我们在Kali上打开命令...



合作伙伴