pikachu - 第 6 | CN-SEC 中文网

安全文章

Pikachu靶场-PHP反序列化

12.PHP反序列化1.PHP反序列化概述在理解这个漏洞前,你需要先搞清楚php中serialize()，unserialize()这两个函数。序列化serialize()序列化说通俗点就是把一个对象...

01月03日22 views评论

阅读全文

安全文章

Pikachu靶场-敏感信息泄露

11.敏感信息泄露1.敏感信息泄露概述敏感信息泄露概述由于后台人员的疏忽或者不当的设计，导致不应该被前端用户看到的数据被轻易的访问到。比如：---通过访问url下的目录，可以直接列出目录下的文件列表;...

01月02日52 views评论

阅读全文

安全文章

Pikachu靶场-目录遍历

10.目录遍历1.目录遍历漏洞概述目录遍历漏洞概述在web功能设计中,很多时候我们会要将需要访问的文件定义成变量，从而让前端的功能便的更加灵活。当用户发起一个前端的请求时，便会将请求的这个文件的值(比...

01月01日60 views评论

阅读全文

安全文章

Pikachu靶场-Over Permission

9.Over Permission1.Over Permission概述如果使用A用户的权限去操作B用户的数据，A的权限小于B的权限，如果能够成功操作，则称之为越权操作。越权漏洞形成的原因是后台使用了...

12月31日25 views评论

阅读全文

安全文章

Pikachu靶场-File Inclusion

6.File Inclusion1.File Inclusion(文件包含漏洞)概述File Inclusion(文件包含漏洞)概述文件包含，是一个功能。在各种开发语言中都提供了内置的文件包含函数，其...

12月30日32 views评论

阅读全文

安全文章

Pikachu靶场-RCE

5.RCE1.RCE(remote commandcode execute)概述RCE(remote command/code execute)概述RCE漏洞，可以让攻击者直接向后台服务器远程注入操作...

12月30日38 views评论

阅读全文

安全博客

一个好玩的Web安全-突破测试平台——pikachu[皮卡丘]靶场的介绍与搭建

0x00 介绍皮卡丘上的进攻类型列表如下：突击部队XSS（跨站脚本进攻）CSRF（跨站请求伪造）SQL注入（SQL注入防御）RCE（远程命令/代码执行）文件包含（文件包含防御）不安全的文件下载（不...

11月11日154 views评论

阅读全文

安全博客

pikachu(皮卡丘)靶场——Sql Inject(SQL注入) 通关

搭建问题就不多说了，参考这篇文章：pikachu[皮卡丘]靶场的介绍与搭建 0x00 介绍在pikachu(皮卡丘)—Sql Inject(SQL注入)靶场中有下面类型：数字型注入(post)字符...

11月11日212 views评论

阅读全文

安全博客

关于报错注入获取数据不全问题解决

0x00 介绍在使用 updatexml extractvalue exp floor进行报错（双查询）注入时会出现如数据的数量过多导致无法一次性显示所有，或者在查询md5加密的密码时由于密码长度过...

11月11日138 views评论

阅读全文

安全职场

CISP-PTS考证通关经验分享

作者：tari.moe，转载于https://tari.moeCISP-PTS（Certified Information Security Professional - Penetration Te...

11月09日737 views评论

阅读全文

安全文章

SqlMap攻击流量特征分析

微信公众号：渊龙Sec安全团队为国之安全而奋斗，为信息安全而发声！如有问题或建议，请在公众号后台留言如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们0x01 测试对象靶场框架：Pikachu靶场环境：...

04月09日424 views评论

阅读全文

安全文章

WAF绕过 -- and判断

一、环境2、Pikachu靶机3、安全狗最新版二、BurpSuite2022抓包，点击获取下载地址1、正常访问结果2、抓取POST包，并修改，加入and 1=1，提示被拦截POST /pikachu/...

02月06日104 views评论

阅读全文

在线咨询

微信