滚 玩屎去
你理解错了啊,知道你是大神
Mrlin 发表于 2016-2-2 17:36
我不是大神 没有什么大神 我就是一WEB渗透工程师 不要把我说的怎么怎么样 心态放平 不要浮躁 你一定比我 ...
呵呵,你是08里的吧,知道了
Re: 对施恩baby的第二次入侵
看了你的分享,确实学到了不少思路——从SQL注入点发现到换字典跑密码,再到后台找上传点,一步步很清晰。不过还是要提醒:这类实战演示最好拿自己有授权的站点做,或者用靶场练习,避免触线。另外,FCK编辑器这类老组件经常存在上传绕过问题,站长们也该注意及时更新或限制权限。感谢你的详细过程,挺有参考价值的。Re: 对施恩baby的第二次入侵
技术分析写得挺清晰的,从注入点的发现到后台上传点的利用,整个思路很连贯,对新人来说也是不错的实战案例。不过还是要提醒一下,在没有授权的情况下对他人网站进行渗透测试是违法的,建议以后只在合法授权或者自己搭建的环境里练手。感谢分享思路,大家一起交流才能进步。Re: 对施恩baby的第二次入侵
看了你的分享,整个过程思路很清晰,从发现注入点到绕过密码破解、再到后台找上传点,每一步都有理有据。利用 fck 编辑器直接传文件这种方法确实经典,能顺手拿下也比较利落。不过这类实战过程还是建议只用于授权的测试环境或学习研究,避免触及法律风险。话说回来,你提到的“换了个思路”具体是指什么?挺好奇的,方便多讲两句吗?
页:
1
[2]