- 博客(4)
- 收藏
- 关注
RSS订阅原创 复现漏洞Flash 0day漏洞(CVE-2018-4878)时翻车
i春秋有最近新出的flash 0day复现漏洞的步骤,需要用到kali环境,靶机环境以及web服务器环境,此漏洞官方目前还没有推出最新更新版本。步骤一:打开kali用msf生成一个kali虚拟机ip,任意端口的python脚本木马并保存为txt文件步骤二:在root文件夹下新建一个后缀为.py的文档然后将以下代码复制上去(复制大神的,我也不明白都是什么东西)#!/usr/bin/env pytho...
2018-04-22 23:53:41
992
原创 Ratproxy在Ubuntu下安装使用
注入有自动注入和手工注入之分,全自动注入软件例如AWVS,半自动注入软件的好处是你可以先手工注入,然后软件会帮你查漏补缺,帮你尝试注入你没有想到的地方,下面来看看Ratproxy的使用方式。 首先 在Ubuntu上获取ratproxy 现获取root权限 然后命令 apt-get install ratproxy 在获取完成后 通过命...
2018-04-15 22:54:31
355
1
原创 xssshell平台使用以及Burpsuit 抓包辅助查过滤
XSSShell配置过程地址填写XSSShell地址,然后让别人点击这个js脚本,平台会接受到cookie,或者在可能存在XSS注入的地方将这条shell插入。点击后如图所示: 尝试左侧命令Alert执行界面利用Burp 看XSS注入网站过滤内容先将火狐浏览器挂上代理,不赘述在BWAPP博客XSS注入界面输入任意内容后抓包post型数据包内容如下将数据包放入burp intruder中在输入内容处...
2018-04-01 21:50:24
1058
原创 通过超链接和伪造数据包请求更改论坛用户密码
Javascript CSRF通过学习过去的漏洞来打开自己挖掘漏洞的思路谷歌F12可以看到Javascript中cookie存放在document中通过语法获取cookie中的指定值更改用户密码思路如下:通过F12开发者工具可以看出目标站的修改密码请求为POST请求数据包,下面为伪造POST请求的脚本编辑超链接脚本,并通过评论上传192.168.98.195:8081站点即为挂载js脚本的网站用户...
2018-03-21 00:30:07
395
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人