浅学WEB方面
作者:互联网
一、总览
主要分为信息泄漏、密码口令、SQL注入、XSS、文件上传、RCE、SSRF方面,其中各方面还有不同细分的类别。
二、信息泄漏
2.1目录遍历
系统部署时会有很多目录,在查找flag时可以通过逐个打开目录进行查找,也可以通过BP工具进行扫描
根据文件类型找到flag
2.2phpinfo
phpinfo是一个运行指令,为显示php服务器的配置信息。
flag被写在此页面中
2.3备份文件下载
三、密码口令
3.1弱口令
弱口令一般通过直接尝试,比较简单的例子如用户名为admin,密码位123456、password、admin、admin123等等,也可以通过BP中设置密码字典进行尝试
3.2默认口令
默认口令一般可以在网上搜索相关默认密码,(北京亿中邮信息技术有限公司)。
四、SQL注入
五、XSS
反射性XSS
尝试确认网页有XSS漏洞,配置项目工具
将工具中的代码提交到web,从而在其上传之后可以拿到信息
六、文件上传
原理是通过上传“一句话木马”从而达到远程连接文件服务器查看信息的目的。
标签:XSS,方面,WEB,浅学,默认,口令,密码,flag,上传 来源: https://www.cnblogs.com/bysyf/p/16480272.html