目标:https://..edu.tw/?140.1*.*.66 聪明的你应该知道是哪所学校,但为了满足行业的要求,最好在这里编码,以示对学校的尊重.
2022年03月26日
目标:https://..edu.tw/?140.1*.*.66 聪明的你应该知道是哪所学校,但为了满足行业的要求,最好在这里编码,以示对学校的尊重.
2022年03月26日
0x02 实战测试过程网站主页随意打开链接,手动测试是否有注入漏洞?’单引号直接报错,但手动测试and 1=1正常,and 1=2这也是正常的。至于为什么返回结果正常,我没有找到原因。由于个人技术问题,我不能手工注入,直接使用sqlmap可根据返回结果进行测试。
2022年03月26日
获取邮箱、电话、邮编。后面可以用来组合字典。
Web(忘记截图,尽量详细说明文字)站在旁边txt扔WVS扫,在http://*.th扫到上传点,直接上传php提示只允许pdf,上传pdf并burpsuit抓包,改后缀为php,上传成功,看来是本地验证。菜刀连接shell提示permission denied,访问刚刚上传的pdf正常情况下,脚本文件的执行应限制在目录下。asp马,不分析pHp马,菜刀连接成功,黑名单验证。不熟悉国外站的结构,御剑和google没找到什么有用的,就不赘述了。
Powered By
Copyright Your WebSite.Some Rights Reserved.