首页 web应用漏洞

web应用漏洞

  • 逆向路由器固件之SQL注入:web应用上的漏洞

    逆向路由器固件之SQL注入:web应用上的漏洞

    我们使用前面的内容TEW-654TR路由器的tftp服务实现了获取目标的管理权限。但如果是tftp如果没有向外网开放怎么办?另寻他径本文中,我们将分析一个web应用漏洞。初步分析用代理软件抓取登录时的数据包,可以看到发送的数据包http请求如上图所示。数据发送到my_cgi.cgi这个脚本。我们分析一下这个文件看看。➜ rootfs git:(master) ✗ find . -name my_cgi.cgi./usr/bin/my_cgi.cgi➜ rootfs git:(master) ✗ file ./usr...

1