Web Burp Suite Professional Error Permission denied: connect 放包报错: Burp Collaborator Health Check 出现如下报错 解决办法:burp的jar包要链接一个443的外网...我拿火绒之前把他阻断了,放行就可以了。 全绿真舒服 一开... 09月04日 5,898 ℃ 2 阅读全文
Web 墨者学院:X-Forwarded-For注入漏洞实战 背景介绍 某业务系统,安全工程师"墨者"进行授权黑盒测试,系统的业主单位也没有给账号密码,怎么测? 实训目标 1、掌握SQL注入的基本原理;2、了解服务器获取客户端IP的方式;3、了解SQL注入的工具... 07月09日 2,260 ℃ 发表评论 阅读全文
Web 攻防世界-WEB-simple_js 进入题目场景 【目标】 掌握有关js的知识。查看页面源码,了解js和读懂代码。 【解题思路】 F12查看网页源代码,找到index文件,仔细阅读js代码。(或者view-source:命令) 先输入一... 07月09日 2,969 ℃ 发表评论 阅读全文
Web 攻防世界-WEB-command_execution 访问题目场景 随后ping下114看有Internet没 再试试会换地址,发现ping通,在给127.0.0.1 && ls 加上ls看能否运行,发现回显正常,当前目录下有index.... 07月09日 2,051 ℃ 发表评论 阅读全文
Web 攻防世界-WEB-xff_referer 打开场景出现:ip地址必须为123.123.123.123 伪造请求头,用brup发包,直接在header里加上X-Forwarder-For:123.123.123.123 必须来自https://... 06月25日 2,819 ℃ 发表评论 阅读全文
Web 攻防世界-WEB-get_post GET方一般为在url后拼接参数,只能以文本的方式传递参数。因此直接在场景后面后进行拼接?a=1,输出结果即可,然后按提示更改为post数据即可得到flag GET和POST两种请求的区别 最直观的区... 06月25日 2,316 ℃ 发表评论 阅读全文
Web 攻防世界-WEB-simple_php 打开场景是一段php代码 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a'>; $b=@$_GET ... 06月25日 1,928 ℃ 发表评论 阅读全文
Web 攻防世界-WEB-disabled_button 这里是一个标签的样式限制,直接f12查看源码。 一般有两种方法方法一:删除代码:disabled=""然后点击网页上的flag图标就可以得到flag了 方法二:将disabled=""改为disabl... 06月25日 1,117 ℃ 发表评论 阅读全文