渗透测试
关注
分享
扫一扫
文章平均质量分 71
山上的云朵
一个刚入安全的新人小白,目前会打打靶场,做做应急响应,和简单点的渗透。这里向大家分享一些自己日常学习过程中的点点滴滴。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
【渗透实战系列】xycms的一次漏洞挖掘
本次漏洞挖掘是用于记录某次实验中自建CMS靶场的漏洞挖掘情况。原创 2023-10-13 09:56:18 · 2018 阅读 · 3 评论 -
【渗透实战系列】飞鱼星家庭路由器越权发现的木马传播事件
事情是这样,最近这段时间收到一次应急,据说是路由器中毒了访问了挖矿域名,后面看了一下后还是因为NAT原因导致的。不过因为这起事件勾起了我对家庭路由器漏洞利用兴趣,于是就有了这篇文章的诞生。原创 2023-06-15 17:58:02 · 1692 阅读 · 0 评论 -
【渗透练习系列】DVWA靶机实战,通过XSS盗取cookie登录-02
一、发现XSS漏洞1.1 登录DVWA,找到XSS(DOM)模块,测试XSS是否存在。1.2 在选项的传参后面加入一串js代码,也就是可以XSS弹出的代码。payload如下:<script>alert(/xss/)</script>发现可以弹窗,证明此处存在XSS。二、盗取cookie2.1 在XSS平台上搭建一个测试项目。这里用的是免费的XSS平台:https://xssaq.com/xss.php选择【我的项目】->【创建】,创建一个测试项目:2.2原创 2022-03-16 10:48:24 · 8397 阅读 · 0 评论 -
【渗透练习系列】DVWA的一次登录后通过Sqlmap拿到os-shell,命令执行写入一句话-01
一、前言本次将通过DVWA靶机来展示怎样通过Sqlmap获取目标os-shell,得到命令执行权限,从而写入一句话木马,持续控制目标服务器。二、测试1.打开目标站点:http://192.200.30.126/DVWA/login.php,从网页后缀和wappalyzer浏览器插件来看,站点的编程语言为PHP。2.输入账号跟密码登录后台,同时开启Burp抓取http包。获取登录后的Cookie值:3.找到存在SQL注入的模块。获取URL。http://192.200.30.126/DVWA/v原创 2022-01-19 22:19:16 · 4775 阅读 · 0 评论