小白学习CTF第九天-web安全(SSL注入)

SSL注入攻击详解
最新推荐文章于 2025-07-16 07:00:00 发布
原创 最新推荐文章于 2025-07-16 07:00:00 发布 · 2.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #linux #安全 #php

ssl注入

在这里插入图片描述

ssl注入介绍

在这里插入图片描述
简单了解一下ssl注入攻击:

信息探测

这个与之前的都一样:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
接下来要根据扫描的道德信息,进行漏洞利用

漏洞利用

在这里插入图片描述
可以尝试打开一些比较敏感的位置:
在这里插入图片描述
像这个就是禁止访问的,我们就可以忽略了,但是有的时候我们也要查看网页源代码看看是否有关键信息。
在这里插入图片描述
打开这个可以看我不让我们访问的目录,尝试访问,下载对应的文件,看看有没有关键信息。
在这里插入图片描述
可以把这两个文件都下载了,之后查看有没有信息,我下载完之后看了一下,没有关键信息,我就没有截图了。
再尝试打开别的网址,看看有没有可以利用的漏洞:

最低0.47元/天 解锁文章
bbhh1139
关注
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
[网络安全自学篇] 六十九.宏安全之入门基础、防御措施、自发邮件及宏样本分析
杨秀璋的专栏
04-21 9795
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了利用永恒之蓝漏洞加载WannaCry勒索病毒,实现对Win7文件加密的过程,并讲解WannaCry勒索病毒的原理。这篇文章将讲解宏病毒相关知识,它仍然活跃于各个APT攻击样本中,本文包括宏病毒基础原理、防御措施、自发邮件及APT28样本分析。基础性文章,希望对您有所帮助。
SSL-CCS注入漏洞分析与中间人攻击实现
08-23
SSL-CCS注入漏洞分析与中间人攻击实现。有不对的地方欢迎指正
CTFWeb各种题目的解题姿势
05-25
Web题型是CTF中常考题型之一,它将实际渗透过程中的技术技巧转化为CTF赛题,主要考察选手在Web渗透技术方面的能力,由于Web渗透涉及的知识点较多,知识面比较广泛,因此系统的总结和练习Web类题,是快速掌握出题人思路的一种有效的方法。
网络安全[脚本小子] -- SSI注入
Skycrab
10-01 7472
本系列文章将与大家一起学习探讨网络安全知识,但我们不做脚本小子。 在计算机和网络领域里,脚本小子(script kiddie)是一个贬义词用来描述以黑客自居并沾沾自喜的初学者。 他们钦慕于黑客的能力与探索精神,但与黑客所不同的是,脚本小子通常只是对计算机系统有基础了解与爱好, 但并不注重程序语言、算法、和数据结构的研究,虽然这些对于真正伟大的黑客来说是必须具备的素质。 他们常常从某些网站上复制脚本
SSL 注入漏洞
m0_57836225的博客
09-10 1229
SSL(Secure Sockets Layer)及其继任者 TLS(Transport Layer Security)是用于在网络上建立安全连接的加密协议。它们确保在客户端和服务器之间传输的数据是加密的,防止数据被窃听、篡改或伪造。SSL/TLS 广泛应用于各种网络通信场景,如网页浏览(HTTPS)、电子邮件(SSL/TLS 加密的邮件传输)、VPN 连接等。中间人攻击(MITM)基础。
小试牛刀:SQL 注入攻击
热门推荐
carol980206的博客
02-24 6万+
小试牛刀:SQL注入攻击一、检测注入点二、判断是否存在 SQL 注入可能三、数据库爆破四、字段爆破五、数据库表爆破六、用户名、密码爆破七、总结 一、检测注入点 首先,在 http://120.203.13.75:6815/?id=1 目标站点页面发现了 ?id,说明可以通过查询 id=1 的内容来获得页面。 这相当于查询语句: select * from [表名] where id = '1'; ...
从零开始学CTF(第十九期)
最新发布
2501_90727259的博客
07-16 1033
CTF 安全工具是解题的 “加速器”,但工具的价值取决于使用者的技术深度。从信息收集到漏洞利用,从代码审计到密码破解,每类工具都有其独特优势,而高手的核心能力在于:根据题目场景快速选择合适工具,组合形成攻击链,并在工具失效时用手动方法突破。学习工具的终极目标是 “为我所用”—— 既不被工具限制思路,也不排斥工具的效率优势。通过大量实战练习,将工具内化为解题直觉,才能在 CTF 竞赛中应对自如,最终夺取旗帜。
网络安全-php安全知识点
Hacker_LaoYi的博客
02-10 653
写给和我一样没学过php安全小白,只是为了让你看懂php代码,专门学后端的请出门左转。学安全需要学的东西太多,你不可能把js学的和做前端的同学一样好、把php学的和做后端的一样好,把数据库学的和做数据库优化的同学一样好,把Apache学的和做服务器端的同学一样好,我们只能关注他们涉及的领域中不安全的因素,找到漏洞,提出修改意见。php是后端常用的语言,在靶机或CTF比赛中也需要进行php代码审计,所以就看看从学安全的角度需要关心哪些部分。语法与注释PHP以开始,以结束:php
ftp系实战和ssl注入实战
weixin_51339377的博客
03-30 725
nmap进行扫描 发现目标开启的21号端口 ftp的服务 看到了ProFTPD 可以考虑一下使用一些其现成的漏洞 搜索漏洞库 我们也可以在msf中进行搜索 直接使用相应的漏洞即可 这是利用了一些软件的旧版本所存在的漏洞进行的提权 接下来是ssl注入实战 第一步正常nmap扫描 发现只开放了80端口 所以只能从web端入手了 后续发现网站url上是shtml 说明可能存在ssl注入的可能 使用nikto对其进行扫描 有可能存在ss...
ssl检测加密、证书工具、非对称和对称加密以及和CTF相关的各种编码
qq_41814777的博客
10-06 565
CTF杂项、全套CTF编码、全套CTF算法:http://ctf.ssleye.com/ 对称和非对称加密算法、ssl漏洞检测、证书工具:http://www.ssleye.com/ 检测项:http://scan.ssleye.com/
ssl模块加入到已经编译好的apache中
让我们荡起双桨的博客
12-06 1690
如果在配置文件httpd.conf中没有: LoadModule ssl_module modules/mod_ssl.so 则说明Apache没有安装ssl模块,可以在编译安装Apache的时候,加上--enable-ssl --with-ssl参数。 如果不想重新编译,可以选择动态编译ssl模块。 1、首先使用whereis openssl获取lib和include的...
网络安全入门过程教程:服务器端模板注入 (SSTI)
qingkahui24689的博客
05-12 953
每个应用程序都会有动态的部分,“动态的部分” 是经过服务器传输展示的。例如:微信卡片左边固定展示:昵称、性别、微信号、地区。而右边是你的个人信息。左边是固定的,右边是动态的(你可以任意更改)。服务器模板就是提供一种快捷美观的方法来写代码展示出来。php复制代码
6-4CTF夺旗入门教程--SSI注入
高冷的宅先生
04-10 512
1.SSI注入攻击介绍 SSI的出现是为了赋予html静态页面动态的效果,通过SSI来执行系统命令,并返回对应结果。 如果网站目录中出现了.stm,.shtm,.shtml,并且网站对于SSI的输入没有做到严格过滤,很有可能被SSI注入攻击。 2.信息探测 #扫描主机服务信息以及服务版本 nmap -sV 192.168.2.119 #快速扫描主机全部信息 nmap -T4 -A -v 192.1...
基于SSL的Harbor镜像仓库的搭建
weixin_43394724的博客
05-30 1105
软件环境 项目 描述 备注 操作系统 CentOS 7.6 1908 2C 4G Docker 20.10.6 Docker-compose 1.29.2 Harbor 2.2.2 参考官方Harbor Installation Prerequisites 基础环境搭建 安装操作系统 OS 安装完成后做如下配置: 禁用SELinux 不重启系统 [root@localhost ~]# setenforce 0   #重启电脑后失效 修改文件,需要重启系统 [root
CTF夺旗-教程
mutou990的博客
08-08 2136
3.CTF-SSH私钥泄露 #locate ssh2john//通过locate命令查找到ssh2john在文件中的位置,直接用python执行即可 "john后回显无密码"问题的解决 知识点:赋权;ssh登录;栈溢出(缓冲区溢出提权); 2 4.CTF夺旗-SSH服务渗透(拿到第一个用户权限) ...
CTF-web安全解题事项
zerolea的博客
03-22 5396
Robots协议: robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。 直接在网址后面加后缀: /robots.txt 二、文件备份: 常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history 如:index...
SSLtrip攻击解决方案
cnbird's blog
04-03 1454
由于目前一种专门针对SSL、HTTPS的新型攻击工具在网上广泛传播,严重影响SSL/HTTPS所保护的用户身份等敏感信息数据的安全性。鉴于我国重要信息系统广泛使用SSL/HTTPS技术用于敏感信息传输保护,为防止重大安全事件发生,很多信息安全监管机构纷纷发文要求进一步推进等级保护安全整改、建设工作,如深圳市公安局的《深圳公安局公共信息网络安全监察分局文件》(深公网[2009]86号发文)。脉山龙有
cap 包如何把TCP包解成ssl
dsq88163的专栏
05-14 409
选择一条tcp,选择 decode AS -> SSL , value为 7275.
mysql与SQL注入CTF Web安全探索关键信息库
本文档主要探讨了MySQL与SQL注入Web安全CTF(Capture The Flag,网络安全竞赛)中的重要性,结合了对系统库的深入解析以及常用指令的操作。首先,我们来了解一下MySQL的核心组成部分和它们的功能: 1. **...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值