-
CTF-合天WEB漏洞靶场
实验环境
https://www.hetianlab.com/expc.do?ce=34dc93e4-58dc-4d37-9ce5-3d7043a6e974
服务器:
Centos7
(nginx+php+php-fpm+mysql)
IP地址:10.1.1.100客户机:
Windows7
(辅助工具:Mozilla Firefox,burpsuite)
IP地址:随机
测试内容
http头部字段理解 A、观察http响应头 B、Referer理解 C、X-Forwarded-For理解 D、Client-IP理解 E、User-Agent理解 F、Accept-Language理解 G、Cookie理解 sql注入 A、http头部注入1 B、http头部注入2 C、宽字节注入 D、cookie注入 文件上传漏洞理解 A、后缀黑名单 B、后缀白名单 C、检查MIMETYPE(Content-Type 限制)与文件大小限制 D、检查头文件 E、一三四综合 F、文件上传之另类反弹shell 文件包含漏洞理解 A、文件包含练习题一 B、文件包含练习题二 SSRF漏洞理解 A、有回显SSRF漏洞 B、无回显SSRF漏洞 C、练习题一 XXE漏洞理解 A、有回显XXE漏洞 B、无回显XXE漏洞- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
- 46
- 47
- 48
- 49
- 50
- 51
- 52
- 53
- 54
- 55
打开burp 开启代理
IE 局域网代理
或者
firefox
观察http响应头
Referer理解
X-Forwarded-For理解
X-Forwarded-For(XFF)
是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
Client-IP理解
-
相关阅读:
JVM下篇(一、性能监控与调优-概述篇)
OpenCVForUnity 透视矫正、透视变换
Simon Knowles:30年做成三家独角兽公司,AI芯片创业的底层逻辑
EnvoyFilter实践: 通过解析子域名注入环境标识
LVS之DR模式(最常见的LVS负载方式,直接路由模式)
Docker--harbor私有仓库部署与管理
国内可用免费AI工具集
黑马C++ 01 基础 —— 数据类型、运算符、循环
【Linux】《Linux命令行与shell脚本编程大全 (第4版) 》笔记-Chapter13-更多的结构化命令
QT连接MySQL数据库,手动编译动态链接库,解决QMYSQL driver not loaded错误
- 原文地址:https://blog.csdn.net/qq_33608000/article/details/125885471
