easysql

经过测试，发现过滤了很多东西，但有堆叠注入

0x01、前言：

linux的权限划分没有windows的那么复杂，提权只用从普通权限提升到root权限就可以了。

一、工具提权

1、msf提权

1、杀软(AV)

检测技术

扫描技术(静态)

1、CobaltStrike的启动

先开启服务端：./teamserver 192.168.1.112 123456

1、文件目录

目录所在位置：/usr/share/metasploit-framework/

一、用户及用户组

1、用户权限的划分

一、什么是XXE漏洞？

XXE漏洞全称是XML External Entity Injection，即XML外部实体注入漏洞，当XML允许引用外部实体并解析时，攻击者就可以构造恶意实体的payload进行注入攻击，造成文件读取、命令执行、攻击内网网站及SSRF等危害。

0x01、SSRF简介

SSRF (server-site request forery,服务端请求伪造)是一种构造请求， 由服务端发起请求的安全漏洞。一般情况下，攻击者无法直接访问到内网资源，但如果服务器存在SSRF漏洞，攻击者就可以利用SSRF攻击访问外网无法访问的内网资源。

注：本文转载自先知社区

原文链接：https://xz.aliyun.com/t/7450

0x01、什么是CSRF