m82a3
m82a3
05_template_velocity admin password is admin/hackfest,no admin/123456
再提个关于结果展示的小建议,主要概括为两点: 1、完整url路径展示,可节省时间 例如检测到phpinfo,直接输出:http://www.baidu.com/i.php ,不然我不去打开报告是不知道这个文件在哪的。 当然像注入什么的如果是post类型只输出完整url也没法直接拿来用,但是我认为至少完整路径可以让使用者知道问题大体出在哪里,假设这个注入是测试者已知的,print完整路径仍然可以起到节省时间的作用(假设想输出完整数据包的话,为了避免那种超大数据包炸屏的风险可以考虑输出一个省略号版的请求包,然后如果用户想看完整的包可以去报告里看)。 2、简要信息展示(可选) 之前反馈输出的信息太多,这次感觉是不是有点过少了😂 报告没毛病,不过感觉不打开报告能看到的信息实在太少了。如果上面的问题解决了,其实这个问题倒也无可厚非了。
三个引号都是写错了一半
we need https!