1、简述远程命令执行漏洞原理分别选择dvwa 低、中、高三种安全等级复现
原理:攻擊者能夠在遠端伺服器或系統上執行任意程式碼或系統指令,等同於取得該系統的控制權或執行權限。
[低]:
2、简述文件包含漏洞原理并在dvwa靶场中通过包含中间件日志getshell
原理:文件包含漏洞是指应用接受外部输入作为要包含/加载的文件路径(例如 include、require、fopen 等),但对输入校验不足或不严谨,导致攻击者能指定任意文件路径,进而读取、执行或泄露敏感文件与内容。
3、简述ssrf漏洞原理并复现Pikachu靶场ssrf漏洞实现读取文件效果
原理:SSRF 是指攻击者利用一个由服务器发起请求的功能,诱使服务器去请求攻击者指定的任意内部或外部 URL,从而让服务器替攻击者访问原本无法直接到达的资源。
[方法1]:
4、复***e漏洞原理,利用dnslog验证xxe漏洞是否存在
5、复现tomcat弱口令漏洞并getshell
)
)
)