【14期-1班-小酒】 html编码转10进制,16进制。编码绕过XSS防护
在XSS的时候,遇到一些防护, 需要通过编码绕过。 下面的程序,就是字符串转html编码的, 可以转10进制的编码, 和16进制的编码。感觉很实用的可以直接尝试编码后进行传参,很多时候可以起奇效class Zhuanyi(): def __init__(self,string): self.string=string def en10html(self):
限时投稿-【14期-1班-小酒】 分享zkaq所有的用户跟头像。python实现
一。 如果觉得有意思的。 请动动小手,点个赞。二。python代码import requests# -*- coding:utf-8 -*-import requestsimport csvfrom bs4 import BeautifulSoupHEADERS = { "User-Agent": "Mozilla/5.0 (Windows N
【14期-1班-小酒】论坛反射,dom,存储XSS。成功打到cookie
演示下效果方便演示,我新发了一个帖子https://bbs.zkaq.cn/t/5798.html点击就会出弹出。这是打到的cookie使用cookie 登录时没有问题的。 发现的过程1,过程起源于聂风老师的一句话。聂风: 找漏洞,不是知道后端如何写的,再使用漏都代码。 而是,你认为他有漏洞,就去测试。结果并不重要(原话忘记了,反正时这个意思)2,分析:xss漏洞,是用户输入
【14期-1班-小酒】 发现咱们论坛一个反射性XSS。
刚看2节xss课程。 手痒在论坛,靶场里面找xss。 被我找到了一个。1,地址:https://bbs.zkaq.cn/?s=search&key=&type=1&pageid=1论坛的搜索模块2,代码及分析流程 代码:xss’,1,this), alert(141)//. 分析:F12查看源代码,发现这个位置上面的单引号不会被转义。js代码:onclick=”return
【14期-1班-小酒】 通过python写sql注入 封装函数。只要目标网站有漏洞就可以重复使用。
只要目标网站有漏洞就可以重复使用。下面是python代码。 希望诸位大佬评鉴import requests,refrom bs4 import BeautifulSoupfrom urllib.parse import quoteclass Safe_spider(): def __init__(self,baseurl,rex): self.baseurl
【14期-1班-小酒】 通过python写sql注入的流程-靶场猫舍
下面是通过,pyhton实现sql入住的流程。 靶场是公开课的,猫舍#coding:utf-8import urllib.parseimport requestsfrom bs4 import BeautifulSoupbase_url="http://59.63.200.79:8003/?id=1"""" 通过1=1 1=2