- 博客(15)
- 收藏
- 关注
RSS订阅原创 项目笔记:Webgoat靶场通关教程之Injection
SQL 是一种标准化的编程语言(1986年通过 ANSI,1987 年通过 ISO),用于管理关系型数据库并对其中的数据执行各种作。数据库是一个数据集合。数据被组织成行、列和表格,并进行索引,以提高查找相关信息的效率。打开是给了我们一个表格,让查询员工Bob Franco的部门,直接查就行。
2025-11-23 02:58:11
1052
原创 项目笔记:Webgoat靶场通关教程之Cryptographic Failures
XOR(异或)加密是一种基础的对称加密方式,其核心逻辑是明文与密钥逐位异或得到密文,解密时密文与同一密钥再次异或即可还原明文。由于XOR操作具有自反性,因此加密与解密使用相同算法。 所以要破解xor编码,就要穷举他的密钥,这边成功找到了他的密钥为”_“(下划线) 对称加密(Symmetric Encryption) 核心原理:加密与解密使用同一密钥(如),算法是公开的,安全性依赖密钥保密性。典型算法: 工作流程:非对称加密(Asymmetric Encryption)
2025-11-17 17:52:39
679
原创 项目笔记:Webgoat靶场通关教程之Broken Access Control
前俩控件书信都是dropdown,最后一个前面加了个hidden-menu-item ,抱着试一试的心态把他删了然后再看看页面变化,发现多了个admin里面有userss属性和config属性,填上去就行。我们对其结果进行尝试其他解码,发现是base64-16进制-文本,这样发现前面字符都一样,后面为账户名字倒写。会发现圈起来的那俩字段没有,在下面提交就行,记得只提交标签,中间用英文逗号隔开(我一直提交不成功,吐了)现在的问题是,虽然我们成功越权创建了一个jack001的管理员用户,但是并没法登录啊。
2025-11-16 02:21:26
556
原创 项目笔记:Webgoat靶场环境搭建、通关教程
WebGoat 是由维护的故意不安全的 Web 应用程序,旨在教授 Web 应用程序安全课程。该程序演示了常见的服务器端应用程序缺陷。这 练习旨在供人们用来了解应用程序安全性和 渗透测试技术。
2025-11-15 14:36:03
374
原创 项目笔记:SQL注入
SQLInjiection攻击技术究其本质,他利用的工具是sql语法,针对的是应用程序开发者编程中的漏洞,当攻击者能操作数据,向应用程序中插入一些sql语句时,sql injection攻击就发生了,sql注入存在主要有以下几点
2025-08-25 18:44:00
747
原创 项目笔记:信息收集之神器wireshark
是一款功能强大的开源网络协议分析工具,广泛应用于网络故障排查、安全分析、协议开发及教学等领域可以看到需要选择网卡,我这里选择WLAN,随便制造点流量,比如说ping 一下百度之类的1. Display Filter(显示过滤器), 用于过滤2. Packet List Pane(包列表), 显示捕获到的封包, 有源地址和目标地址,端口号。颜色不同,代表3. Packet Details Pane(包详情), 显示封包中的字段4. Dissector Pane(16进制数据)
2025-04-24 22:27:28
1185
原创 项目笔记:信息收集之神器nmap
nmap又称为诸神之眼,是一款功能强大的开源网络扫描和安全审计工具,最初由 Gordon Lyon(Fyodor)开发。它被广泛用于。Nmap 支持多种扫描技术,能够高效地探测目标网络中的主机和服务,是网络管理员、安全工程师和渗透测试人员的必备工具之一。
2025-04-23 21:18:47
1098
原创 项目笔记:小白的个人网站搭建
好,现在搞一下个人网站,先在阿里云或者腾讯云购买一个服务器,性能不用太好,2核就好,磁盘的话看自己需求,我的是60GB ,首先先用Xshell或者MobaXterm远程连接服务器,我选的是sentOS服务器,我看服务器名字不好看干脆改了下 ,直接 vim /etc/hosts修改就行。之后可以先美化一下命令提示符,32333435360\u\h\W\w\$\t效果如下。
2025-03-27 09:32:06
454
原创 项目笔记:Kali使用Ngrok进行内网穿透
内网穿透,也被称为NAT(网络地址转换)穿透或内网映射,是一种将本地网络服务暴露给互联网的技术。简单来说,就是让处于局域网(内网)内的设备能够通过互联网进行通信,实现远程访问和操作。原理如下端口映射:在路由器级别进行配置,将外部端口的请求转发到内网设备上的特定端口。反向代理:使用反向代理服务器接收外部请求,并将其转发到内网服务上。VPN:在网络中创建一个加密的“隧道”,允许远程设备安全地访问内网资源。
2025-01-15 23:22:35
1186
原创 项目笔记:跨站请求伪造(CSRF)
在CSRF攻击中,攻击者通常不会直接访问受害者的账户,而是通过发送一个恶意的链接或脚本到受害者,诱使受害者在未察觉的情况下执行特定的请求。这个请求看起来像是受害者自己发出的,因为它包含了受害者的会话信息(如cookie),而受害者此时已经登录到目标应用程序。这些操作通常是以受害者的身份执行的,因为攻击者会利用受害者在应用程序中已经建立的会话(session)。服务器收到修改密码的请求后,会检查参数password_new与password_conf是否相同,如果相同,就会修改密码,并没有任何的防御机制。
2024-05-08 09:12:03
1040
1
原创 项目笔记:文件包含漏洞
当应用程序对用户输入的文件路径或文件名进行不充分或无效的验证和过滤时,攻击者可以通过操纵应用程序对文件路径的处理,将恶意文件包含到应用程序中执行。为了避免文件包含漏洞,开发人员在编写代码时应该对用户输入的文件路径或文件名进行严格的验证和过滤,确保只包含合法的文件路径和文件名。同时,应该避免使用不安全的文件包含函数,如PHP中的include()和require()函数,而应该使用更加安全的替代方案。例如,可以只允许包含特定的文件或目录,或者对文件名进行白名单验证,确保它只包含预期的字符和格式。
2024-05-06 15:34:19
883
1
原创 项目笔记 : 命令执行漏洞
命令执行漏洞是一种常见的网络安全漏洞,它指的是应用有时需要调用一些执行系统命令的函数,如system()、exec()、shell_exec()等,而代码未对用户可控参数做过滤。当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击。命令执行漏洞的原理在于,当应用需要调用外部程序处理内容时,就会使用执行系统命令的函数。如果这些函数的参数可以由用户控制,那么用户就有可能输入恶意命令,导致应用执行非预期的操作。
2024-04-29 16:07:23
1077
1
原创 项目笔记:WordPress shenronm 靶机实训
WordPress主题编辑器是一个内置于WordPress平台的工具,允许用户自定义WordPress站点的外观和功能。通过主题编辑器,用户可以选择预设的主题或上传自定义主题,并定制其全局样式,如颜色、字体、间距等。Nmap的基本使用方法、Burp的基本使用方法、一句话木马、webshell管理平台、wordpressCMS、后台扫描、host配置、Linux基础命令。靶机下载链接:https://pan.baidu.com/s/1Ab166gEbG9v7P7uM4-xqyw。
2024-04-27 21:24:08
586
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人