Run

前言 记录web的题目wp，慢慢变强，铸剑。 信息搜集web1 右键查看源代码即可 ctrl+u web2 1、关掉javascript然后查看源码 2、ctrl+shift+i 3、view-source: 4、点击更过工具，开发者工具查看元素获得页面注释通过开发者工具查看网络response ...

前言 掌控安全里面的靶场前端渗透/CSRF，学习一下！ CSRF跨站请求伪造了解csrf跨站请求伪造：也被称为“one click attack”或者sessingriding，通常缩写为csrf或者xsrf，是一种对网站的恶意利用。尽管听起来像跨站脚本(xss)但它与xss非常不同，xss利 ...

前言 掌控安全里面的靶场漏洞原理到利用，学习一下！ 验证码绕过 环境：http://yzmrg988.zs.aqlab.cn/ 打开环境，cms UsualToolCMS 直接去站长源码下载过来 可以发现管理员路径/cmsadmin/a_admin.php 访问一下，因为说 ...

前言 掌控安全里面的靶场漏洞挖掘XXE实体注入，学习一下！ 做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法 XXE基础知识 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明 ...

前言 掌控安全里面的靶场漏洞挖掘与代码审计，练练手！ 本地包含漏洞审计 环境 ：http://wjbh522a.zs.aqlab.cn/ 默认弱密码登陆 admin admin 登陆之后发现是个4.8.1的版本，其实这题做的方法太多了，也可以不用代码审计，网上有一堆payload远程文件 ...

前言 掌控安全里面的靶场前端渗透/XSS，学习一下！ 反射型XSS 环境：http://b-ref-xss-1s.lab.aqlab.cn/ 了解一下 一般证明XSS是否存在，就是在正常页面传参然后构建参数让他弹窗就是存在XSS了XSS一般在什么业务场景容易遇见？重灾区：评论区、留言区、个人 ...

前言 对于MongoDB学习注入之前，先进行一些知识储备 环境-ubuntu18.04 基本启动操作MongoDB的服务启动 12service mongodb start #启动服务service mongodb status #确定服务是running中 查询MongoDB的端口 12 ...

一、什么是udf udf 全称为：user defined function，意为用户自定义函数；用户可以添加自定义的新函数到Mysql中，以达到功能的扩充，调用方式与一般系统自带的函数相同，例如 contact()，user()，version()等函数。 udf 文件后缀一般为 dll，由C、 ...

前言 掌控安全里面的靶场数据库注入，练练手！ Access——Cookie注入 环境http://59.63.200.79:8004/ 正常情况Cookie注入是可以通过post传参测试的 上面通过改id的参数发现可以cookie注入，废话不多说，抓包，sqlmap走起 ...

前言 掌控安全里面的靶场Sql-Labs，练练手！ 环境：http://inject2.lab.aqlab.cn:81/ pass-01123456789101112$username = '';$password = '';@$id = $_GET['id'];@$sql = 'select ...