Track 正式学员

小枭

0关注
1粉丝
2文章
返回网站首页

您已发布 2篇文章作品写文章

某edu登录处前台绕过getshell分享

一.挖掘过程简述: 通过收集到的账号密码进入后进行测试无果,查看登录返回包后修改role_id参数进入管理员后台,后台存在文件上传功能且对文件后缀和内容有检查,后缀检测时前端进行的,可以通过抓包进行修改,对内容有检测要免杀。此外这里还存在csv注入,后面再详细说。二.详细过程 1.通过谷歌语法收集到账号和密码。很多隐藏资产可能存在各种文本文件中,这时候就需要用到谷歌语法进行收集,这里列出一个

 11个月前
 1 
 920 

小白第一次提交sql注入漏洞

刚学到文件上传文件的小白,充满激情的想要去挖漏洞,我就到各学习社区去看别人第一次如何挖漏洞的。第一次我就去尝试挖了某天的公益的SRC,一套信息收集下来,除了官网没有多少可以继续渗透的,很多子网站都是私密访问链接,没办法就放弃了。#CTL{\n}今天在在谷歌搜索偶然碰到了一个存在sql注入的网站。#CTL{\n}下面就来说说我的注入过程:#CTL{\n}####1.输入and 1=1 页面页面正常,

 2022-12-12
 1 
 9