通过 selenium 和 flask 中转后利用 sqlmap 进行注入
2019-07-27 Pentest injection
0x00 先说前提
昨天某个小伙伴说有个注入没法搞
前端提交登陆表单时数据包加密了, 而且有个 sign 字符串每次都不一样用于校验, 应该是用 js
加密了
0x01 找加密的 js 文件
注入的地方是获取验证码时的手机号, 刚开始想着先找到 js 加密的函数, 然后生成 sign 再组数
据包发送。
就像 记一次SQL Server报错注入 中一样, 用 selenium 或者 PhantomJS 执行 js 代码生成
sign
Categories
database(12)
git(6)
javascript(4)
linux(26)
other(14)
pentest(79)
php(12)
python(32)
server(10)
windows(4)
Tags
ajax backdoor cgi csrf c语言
dedecms des deserialize dmz
docker fileupload getshell git
https injection intranet
javascript linux mindmap
miscellanea module
mongodb mysql oracle
pentest php poc postgresql
python rce redis server
software sqlserver ssh隧道 ssrf
thread tools tornado wireless
评论0
最新资源