WackoPicko 들어가기
burp suite 잡기
로그인하고()
tak.php 파일 업로드한뒤 burp suite 잡기
image/png로 변경
여길보면 upload 라는곳에 된다는것을알수있다 들어가보자
------------------------------------------
------------------------------------
이런식으로 팝업 창이뜬다.
---------------------------------------------------------------
--------------------
댓글스크립트삽입
악성 script 삽입 .
<img src=# onerror=alert('aa')>
이런식으로 공격가능
netxt
---------------------------------
-------------------------------------
공격 성공.
----------------------------------------------------------------------------
-------------------------------------------------------------------------------------
sql map
이것이 되면 sql 이 먹힌다는의미
하지만 post 방식
바탕화면에저장
python sqlmap.py -r 파일이름 --batch
같은 파일에 넣은뒤에
sqlmap
-r 123 이런식으로
명령어주고
계속찾아보기.
'Web hacking' 카테고리의 다른 글
| owasp 실습(bwapp) -1 (SQL injection blind boolean based) (0) | 2020.12.08 |
|---|---|
| oswasp 실습(BodgeIt) (0) | 2020.12.07 |
| owasp 실습 (peruggia) (0) | 2020.12.07 |
| 파일업로드 취약점,소스코드공개될때 가능한취약점 (0) | 2020.12.01 |
| 웹해킹 파일업로드 취약점 (0) | 2020.12.01 |