E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
Pikachu靶场实战
0531 10-3 ssrf漏洞原理和实验案例演示
http://127.0.0.1/
pikachu
/vul/ssrf/ssrf_curl.php?
qq_42764906
·
2020-08-22 18:43
实验25:cookie获取和钓鱼攻击演示
在
pikachu
上可以提前部署好环境再安装好pkxss后台
以菜之名
·
2020-08-21 21:08
作业
[Errno 2] iptables v1.6.0: can't initialize iptables table `filter'
pikachu
@DESKTOP-PNG1UIG:~$sudoufwallow3306ERROR:initcaps[Errno2]iptablesv1.6.0:can'tinitializeiptablestable
大黄老鼠
·
2020-08-21 20:56
pikachu
靶场(持续更新)
pikachu
靶场–(基于表单的暴力枚举)官方版:“暴力枚举”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。
一只哈士奇ღ
·
2020-08-21 01:27
靶场复现
DRF框架开发流程化代码范例
开发一个叫做皮卡丘的项目,怎么简单怎么来使用windowsPycharm开发创建一个虚拟环境,名为
Pikachu
_drfvirtualenv-ppython3.6--no-site-packagesPikachu_drf
我是HUASU
·
2020-08-20 11:38
后端
2020暑假西北工业大学个人排位赛第三场
黑妹的游戏I签到脑洞、gcdB御坂美琴简单题思维题Croom中档题网络流D极差中档题线段树、单调栈EPikachu难题最小割、贪心Fwyh的曲线难题曲线积分御坂美琴不停地拆掉最大的,加点剪枝可以保证复杂度
Pikachu
*ACoder*
·
2020-08-19 07:12
2019年总结
原文:https://blog.
pikachu
.net.cn/post/2019-summary/转眼间,2019年到了最后几天。以往因为某些原因没有写成的年度总结,今年终于有了足够的空闲时间。
大黄老鼠
·
2020-08-18 00:04
BurpSuite暴力破解测试
第一次配置
Pikachu
平台时忘记了两年前配置mysql密码,绝了,弄了一整天,删除了原来的mysql后,又重新配置了mysql+php+Apache+phpMyadmin组合,发现各种小BUG不断,最后在朋友的介绍下安装了个
Anonymous0xcc
·
2020-08-16 16:59
Personal
feelings
安全
pikachu
-unsafeupload
首先在文章的开始,我要推荐一个漏洞测试靶场,叫做
pikachu
,这是一个比较完整的web靶场,里面包含了SQL注入,XSS,文件包含,文件上传,任意文件下载等漏洞,比较适合在学习时测试。
风起kali
·
2020-08-16 14:52
web渗透
安全
pikachu
漏洞平台学习(5)
将之前笔记整理发出RCE概述RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返
adminuil
·
2020-08-16 12:38
靶场测试
【web安全】sql注入之反弹注入
靶场实战
打开靶场,输入’号,然后有明显的报错提示,确认存在注入然后直接输入’orderby3–yuyu页面显示正常然后试试5,页面显示不正常,然后就试试4,页面也显示不正常,然后知道了字段数是3然后就直接联合查询,输入’unionallselectid,null,nullfromdbo.sysobjectswherextype=‘U’–yuyu得到437576597,1977058079,20570583
吃遍全国海底捞
·
2020-08-16 11:52
【web安全】
把鼠标指针换成自定义图片 傻瓜教程
参考:https://blog.csdn.net/lwy815379128/article/details/53983294body{cursor:url(“images/
pikachu
.png”),auto
nr411
·
2020-08-13 18:57
牛客多校第六场 G
Pikachu
(树形dp)
链接:https://www.nowcoder.com/acm/contest/144/G来源:牛客网题目描述InViridianforestthereisatreeTformedbyNnodes,eachedgeonwhichhasapositiveweight.ThereisanundirectedgraphGgeneratedfromtreeT,whichcontainsNnodesandu
破晓③
·
2020-08-13 12:26
ACM
dp
网络流
CSRF(post)漏洞复现
二、构建一个错误信息脚本csrf_poc.php放入http://192.168.56.129/
pikachu
-master/vul/csrf中document.px.submit();-->三、诱导LUCY
也森
·
2020-08-11 19:09
web安全
pikachu
-ssrf源码分析及修复
ssrf概述ssrf源码分析ssrf(curl)将url参数的值设为https://www.baidu.com/,得到返回页面,可知已访问了www.baidu.com的资源代码分析curl模拟浏览器请求的,比如获取获取远程的网页,文件等,虽然可以使用file_get_contents函数但是curl支持cookie自定义浏览器类型,来源ip等等。ssrf(file_get_contents)url
_slience
·
2020-08-11 19:06
web学习
CSRF漏洞-
pikachu
平台
CSRF-GET访问目标网站如下图所示点击右边的提示有账号密码登录lucy账号修改个人信息用burpsuite抓包发现其参数直接用get提交,并且没做什么认证(即攻击者不需要任何用户的信息即可构造请求,如果防御的话我觉得应该利用cookie等认证用户的信息添加到get请求里)用户点击该网站链接时会以用户的身份提交攻击者提前准备好的数据此时我们推出lucy用户登录grady用户然后现在访问攻击者构造
银河以北,吾彦最美
·
2020-08-11 19:29
CSRF
【
pikachu
渗透靶场&Web安全从入门到放弃】之 XXE漏洞原理和案例实验演示—— “叉叉易”
48.10-2xxe漏洞原理和案例实验演示(Av96582332,P48)XXE(xmlexternalentityinjection"第一部分:XML声明DaveTomReminderYouareagoodmanDTDDocumentTypeDefinition即文档类型定义,用来为XML文档定义语义约束。1.DTD内部声明2.DTD外部引用3.引用公共DTD外部实体引用payload:&f;<
你们这样一点都不可耐
·
2020-08-11 18:19
Web安全
Pikachu
-XXE
0x00XXE-“xmlexternalentityinjection”既"xml外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个
baynk
·
2020-08-11 18:36
#
Pikachu
Pikachu
漏洞平台练习——XXE实体类型举例、Blind OOB XXE、其他协议、XXE漏洞读取文件
1.XXE概述XXE-“xmlexternalentityinjection”,即xml外部实体注入。攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题,也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。2.本地实体类型与外部的实体类型本地实体类型举例说明如下://foo是接受任何参数的]>//定义了一个实
7Riven
·
2020-08-11 17:05
渗透学习
PiKachu
靶场之XXE (xml外部实体注入漏洞)
概述XXE-"xmlexternalentityinjection"既"xml外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。XML教程现在很多语言里面对应的解
angry_program
·
2020-08-11 16:49
Pikachu靶场
pikachu
靶机学习记录
暴力破解基于表单的暴力破解验证码绕过(onclient)验证码绕过(onserver)token防爆破?XSS(跨站脚本)反射型xss(get)反射型XSS(POST)存储型xssDOM型xssDOM型xss-xXSS盲打XSS之过滤XSS之htmlspecialcharsXSS之href输出XSS之js输出CSRFSQL注入数字型注入(POST)字符型注入(get)搜索型注入XX型注入INSER
lainwith
·
2020-08-11 16:23
靶机
web
【CSS/JavaScript】动态生成皮卡丘
效果预览:https://sevlt.github.io/animate-
pikachu
/index.htmlHtml代码:PikachuCSS代码:*{margin:0;padding:0;box-sizing
SEVLT
·
2020-08-10 21:37
CSS
JavaScript
皮卡丘的叫声是?
当然是“pika”,“pikapi”,“
pikachu
”,“pikapika”等等,其中“pikapi”指的是小智哦(不要问我为什么懂皮卡丘语),现在皮卡丘说了好长一段话,请你找出皮卡丘叫了多少次“pikac
初同学要上进
·
2020-08-10 20:59
Pikachu
靶机系列之暴力破解(一)
本节目录:一.基于表单的暴力破解二.验证码绕过(onserver)服务端三.验证码绕过(onclient)前文:
Pikachu
靶机系列之安装环境一.基于表单的暴力破解暴力破解弱口令,很大程度上要看运气,
努力的学渣'#
·
2020-08-09 01:17
靶机系列
第九周作业 1.不安全的文件下载原理和案例 2.不安全的文件上传原理及客户端绕过案例 3.文件上传漏洞 mime type验证原理和绕过
在
pikachu
平台下进行演示在不安全文件下载中,随意选择一张图片,正常情况下点击图片下的名字就会将图片保存到需要的
Frion_A
·
2020-08-08 00:18
第三周作业 token防爆破 (基于
pikachu
平台)burp token的暴力破解
一、什么是token?简单的说token是由服务端生成的一串字符串,作为客户端向服务端请求的一个标识。在前端使用用户名/密码向服务端发送请求认证,服务端认证成功,那么在服务端会返回token给前端,前端在每次请求时会带上服务端发来的token来证明自己的合法性。二、用burp进行暴力破解首先打开pikahcu平台暴力破解下的token防暴力破解,随意输入账户和密码让burp抓到post请求,选中信
Frion_A
·
2020-08-08 00:48
第二周作业 暴力破解——1.基于表单的暴力破解 2.验证码绕过(on client) 3.验证码绕过(on server)
(下图为错误示范)(二)基于表单的暴力破解演示打开
pikachu
平台,在暴力破解栏目下点击基于表单的暴力破解,随意输入密码后,
Frion_A
·
2020-08-08 00:47
pikachu
漏洞靶机之xss获取键盘记录
在实验前,先了解一下什么是跨域http://www.xyz.com:8080/script/test.js协议子域名主域名端口资源地址当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域我们把不同的域之间请求数据的操作,成为跨域操作。跨域-同源策略而为了安全考虑,所有的浏览器都约定了“同源策略”,同源策略规定,两个不同域名之间不能使用JS进行相互操作。比如:x.com域名下的jav
暮秋初九
·
2020-08-08 00:14
pikachu
XSS学习笔记(一)
学习来源:https://edu.51cto.com/course/14449.html靶场地址:https://github.com/zhuifengshaonianhanlu/
pikachu
一、概述
weixin_30788731
·
2020-08-08 00:13
Pikachu
-XSS
0x00XSS(跨站脚本)概述Cross-SiteScripting简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASPTOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前
baynk
·
2020-08-08 00:51
#
Pikachu
XSS跨站脚本攻击漏洞之3
Pikachu
中的利用和绕过
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~今天使用的平台是
Pikachu
,可以看到它有以下几道题目:昨天在DVWA里面遇到的都是最基础版的XSS,
ISNS
·
2020-08-08 00:41
XSS
Pikachu漏洞练习平台
web安全攻防
XSS盲打演示和讲解;XSS绕过思路讲解和案例演示;XSS绕过关于htmlspecialchars()函数;XSS常见防范措施
在
pikachu
上具体的实验演示;1.在XSS盲打模块根据前端的提示输入相关信息,发现输入的信息只会反馈给后台,在前端无法显示。
黑黑黑白白白
·
2020-08-08 00:46
xss防范措施href 和js输出点的案例演示
js输出点在
pikachu
的xss之js输出输入1111查看源代码ctrl+f搜索1111输入tmac得到源代码ms=′1111′;if(ms='1111';if(ms=′1111′
qq_42764906
·
2020-08-08 00:40
pikachu
漏洞练习平台使用笔记-XSS(存储型、DOM型、DOM-x、盲打、过滤、htmlspecialchars、herf输出、js输出)
XSS漏洞大同小异,都是想办法让自己的输入被浏览器解析成代码执行。存储型存储型XSS就是把恶意代码存储在服务器中,攻击持久,每个访问该页面的用户都会受到攻击。这是一个留言板,对我们留言的内容没有做过滤,经过实验,输入的内容直接输出在页面中,那么我们直接输入payload即可。alert(111)提交后,我们也可以发现,刷新页面代码被执行,页面不会显示我们输入的字符,审查元素可以发现,我们的输入已经
我有一只猫V
·
2020-08-07 23:37
PiKachu
之XSS(跨站脚本)
XSS概述Cross-SiteScripting简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASPTOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏
angry_program
·
2020-08-07 23:34
Pikachu靶场
第八周作业 1.XSS盲打 2.XSS绕过 3.XSS绕过之htmlspecialchars()函数 4.XSS防范措施href和js输出
在
pikachu
平台进行演示先在xss盲打栏目下,输入payload,观察到可注入点。现在以管理员的身份登入后台,就会出现弹窗,这就是一个简单的盲打。通过xss
Frion_A
·
2020-08-07 23:17
实验31:xss之htmlspecialchars绕过演示
qupt3、’(单引号)Ɗ、(大于)>可用引号类型:ENT_COMPAT—默认,仅编码双引号ENT_QUOTES—编码双引号和单引号(推荐)ENT_NOQUOTES—不编码任何引号我们仍以
pikachu
以菜之名
·
2020-08-07 23:03
作业
pikachu
靶场之csrf(1)
下面,我们在
pikachu
靶场中演示如何利用csrf漏洞。1,登录账号。之后修改账号,同时利用bp抓包,来判断修改用户信息是否设置一些保护措施。
ccddddddddd
·
2020-08-06 11:00
靶场
pikachu
系列(sql注入)
SQL注入数字型POST字符型GET搜索型注入xx型注入insert/update注入insertupdatedelete注入http头user-agentaccpetcookie盲注布尔时间数字型POST判断字段orderby2成功回显payload:联合查询id=1unionselectdatabase(),version()%23暴库id=1unionselectdatabase(),gro
~~...
·
2020-08-05 11:22
靶场
储存型XSS和DOM型XSS的解析
1.打开
pikachu
“Cross-SiteScripting—存储型XSS”2.在我是一个留言板里留个言随便输入一个东西,点击提交(submit),我们发现这
*薄荷糖*
·
2020-08-05 11:47
暴力破解之绕过验证码(客户端)
客户端验证码绕过(靶机:
pikachu
)首先解释下什么叫客户端验证码,所谓的客户端验证码就是前端采用javascript生成再使用javascript进行验证
阿南-anan
·
2020-08-05 11:28
安全系列
pikachu
-xss源码分析及修复
pikachu
的xss没有做很多过滤,重点展示的是原理,在实际情况中肯定会有很多过滤和转义的。要多积累一些。
_slience
·
2020-08-05 11:22
web学习
pikachu
靶场--CSRF
pikachu
靶场–CSRF文章目录
pikachu
靶场--CSRFCSRF(跨站请求伪造)简要概述CSRF(get)CSRF(post)CSRF(Token)CSRF(跨站请求伪造)简要概述CSRF(Cross-siterequestforgery
Yzai
·
2020-08-05 11:19
靶场练习
PiKachu
靶场之水平/垂直越权
概述如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作。越权漏洞形成的原因是后台使用了不合理的权限校验规则导致的。一般越权漏洞容易出现在权限页面(需要登录的页面)增、删、改、查的的地方,当用户对权限页面内的信息进行这些操作时,后台需要对对当前用户的权限进行校验,看其是否具备操作的权限,从而给出响应,而如果校验的规则过于简单则容易出现越权漏洞。因此,在在
angry_program
·
2020-08-05 10:05
Pikachu靶场
SQL注入进阶之1宽字节注入攻击(
Pikachu
漏洞练习平台)
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~宽字节注入攻击可以说是SQL注入的进阶攻击方式,在我之前列出的学习计划体系中,前面的union联合查询注入攻击、布尔盲注、报错注入、时间盲注这几种常见的SQL注入方式,在我之前的博客中已经分析过了,那么今天在下面这些进阶的SQL注入方式中,要翻牌的就是宽字节注入。原理讲解接下来的讲解,将以问答的方式来
ISNS
·
2020-08-04 18:45
web安全攻防
SQL注入
Pikachu漏洞练习平台
网络安全-跨站脚本攻击(XSS)自学笔记
目录所用工具简介XSS的类型反射型XSS/不持久型XSS存储型XSS/持久型XSS基于DOM的XSS如何挖掘XSS所用工具Google出品:开源WebApp漏洞测试环境:FiringRange靶机:dvwa、
pikachu
lady_killer9
·
2020-08-02 16:51
网络安全
xss
DOM
代码规范
js
JavaScript
渗透测试干货--SSRF漏洞
靶场实战
获取对方root权限详解
202004241.SSRF测试方法1.1漏洞环境:PHP脚本、Windows1.2利用工具:nc、bash1.3测试过程首先采用如下脚本创建一个PHP的服务端:在PHPStudy的WWW目录下新建一个ssrf.php的文本文档,将上面这段PHP脚本复制粘贴到里面并保存开启PHPStudy的web服务:然后下载并在cmd中打开nc.exe监听软件输入命令:nc.exe-lvvp2233,此时nc进
HXF_Bayonet
·
2020-08-02 16:40
Pikachu
通关笔记
Pikachu
靶机练习1、暴力破解1.1基于表单的暴力破解1.2验证码绕过(onserver)1.3验证码绕过(onclient)1.4验证码绕过(token防爆破)2、Cross-SiteScripting-XSS2.1
BROTHERYY
·
2020-08-02 15:48
靶场练习
pikachu
靶场通过教程
目录暴力破解XSSCSRFSQL注入RCE文件包含不安全的文件下载不安全的文件上传越权目录遍历敏感信息泄露PHP反序列化XXEURL重定向SSRF暴力破解暴力破解简单概述点开基于表单的暴力破解,像我们日常登录的用户密码我们简单输入admin,admin,错误提示输入admin,123456,成功提示然后我们用工具,burpsuite进行爆破,先设置代理设置为手动代理,填上127.0.0.1(这是本
安徽锋刃科技
·
2020-08-02 14:30
pikachu
注入漏洞演示3
sql-inject漏洞-盲注盲注:基于真假的盲注先用字符串测试一下发现不行再试试因为kobe存在,and1=1为真所以被写入后台,所以存在sql注入用之前基于报错的payload来试一下kobe’andextractvalue(0,concat(0x7e,version()))#不行获取数据库名称,取第一个字符转成ascii码,转成ascii码之后就可以对他进行运算要转换成真和假,因为在基于真假
汉堡阿汉堡
·
2020-08-02 14:04
上一页
7
8
9
10
11
12
13
14
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他