- 博客(8)
- 收藏
- 关注
RSS订阅原创 墨者学院-入门级-SQL手工注入漏洞测试(MySQL数据库)-小白必看(超详细)
2021年2月2日,第八次渗透测试。这次实践SQL的盲注,知识点比较多,除了实验的讲述还会加上知识点的讲解;测试寻找注入口:1,、进入靶场,发现界面和之前做过的实验一样,我们需要进入“维护通知的地址”进行说起来的注入;2、我们直接进在地址栏进行SQL语句的注入测试;在地址栏加上语句“and 1=1”,页面可以正常显示。再尝试加入语句“and 1=2”,页面显示出错,没有了相关内容。说明地址栏是一个sql 的一个注入口;(原理说明可以看我之前做过的实验博客)sql语句注入:3、发现了注入口
2021-04-26 16:25:23
1451
2
原创 墨者学院-入门级-内部文件上传系统漏洞分析溯源-小白必看(超详细)
2021年1月26日,第七次渗透测试。准备需求:1、win10系统;2、中国菜刀;3、bp拦截工具(不懂的看我以前的博客,有介绍);1、进入靶场,有一个文件上传口;2、我们新建一个文本文件,里面写上一句话木马;一句话木马:<%eval request (“a”)%>(这里的’a’是中国菜刀上的webshell密码,可自行更改;)3、上传文件,拦截请求包;以下为拦截包数据截图:修改包数据,把“upload”改为“1.asp”;然后释放拦截包,返回浏览器页面;4、可
2021-01-28 16:48:11
1544
原创 墨者学院-入门级-phpMyAdmin后台文件包含分析溯源-小白必看(超详细)
2021年1月26日,第六次渗透测试。实在抱歉,因为工作原因许久没有更新测试,期间生活也发生了很多事,现在心情也不怎么好,但也尽量讲细一点吧,开干!准备需求:1、win10系统;2、中国菜刀;1、进入靶场账号:root 密码:root这个账号密码都是看其他的教程知道的,至于怎样破解出来不知道,能力有限,过后我看看怎么来的吧。(如果了解再回来追跟);2、进入到后台,到SQL页面,在控制台下输入以下命令,然后点击执行;select ‘<?php eval($_POST[key
2021-01-26 13:10:12
1421
2
原创 墨者学院-入门级-SQL注入漏洞测试(布尔盲注)-小白必看(超详细)
2020年8月25日,第五次渗透测试。通过对sql语句进行注入,数据库的库名,表名,字段进步爆破,最终获得key。准备需求:1.windows系统pc2.2.burpsuite(bp)抓包软件3.sqlmap sql 数据库的爆破工具1.进入靶场...
2020-08-26 15:24:15
4493
6
原创 墨者学院-入门级-HTTP动作练习-小白必看(超详细)
2020年8月18日,第四次渗透测试试验。通过拦截数据包响应包,修改内容,实现get变为post的提交。准备需要:1.window电脑2.burpsuite(bp)抓包软件1.进入靶场点击【静夜思】后发现页面会发生错误 这时它提示我们说相应URL过长这样就涉及到GET和POST提交方式的区别我们猜想有可能是URL的长度过长导致报错2.开启bp代理 开启响应包拦截(不懂的可以看我第一次试验的投稿)然后发现,拦截到的数据包有巨多内容,而且提交方式为GET3.根据提示和之前的两者区
2020-08-18 13:56:19
1672
2
原创 墨者学院-入门级-投票常见漏洞分析溯源-小白必看(超详细)
2020年8月6日 ,第三次网络安全试验。通过拦截响应包,对服务器网站进行攻击。准备需要:1.window电脑2.burpsuite(bp)抓包软件1.进入靶场,任务是需要我们投票,把a2019的票数成为第一,就是所谓的刷票,完成后,就会获得key。2.然后开启代理,进入bp打开响应包拦截,当我们点击投票按钮,bp就会拦截到一个响应包。把响应包的内容复制粘贴到,并修改User-Agent的头数据,然后在末尾加上加上一个扩展头,然后分别选中0和1,按右边的“Add §”按钮。代码:Mo
2020-08-06 15:19:54
2168
1
原创 墨者学院-入门级-服务器返回数据查看-小白必看(超详细)
2020年8月3日,第二次网络安全试验。本实验较简单,不需要用到任何抓包工具,但还是想写写,当个记录。准备需要:1.window电脑1.进入靶场,一个选择题,答对和答错都会出现弹框。但我们看不出key在哪,因为key隐藏在了弹框的返回包中。2.按F12,选择Network,然后再提交一次答案,这时候就会出现两个文件包,我们进入第219.153.49.228的文件。3.打开后,寻找key,找到后复制,粘贴就成功了。实验超简单,是超,但这也启示我们看看数据不要只看表面,有些信息或许被隐藏
2020-08-03 19:25:59
1419
1
原创 墨者学院-入门级-浏览器信息伪造-小白必看(超详细)
2020年8月1日,第一次开始网络安全试验,本来很简单的东西,要做了一个小时左右,但收获良多,不多bb开始准备需要:1.windows系统(肉机就行)2.下载一个BurpSuite软件(简称BP,用来抓包,代理等作用,我也是第一次了解这软件,感觉很牛逼。)1.看下我们要伪造信息的网站(小白第一次接触可能不知道靶场的入口,所以我写得巨详细 ,如果过分了请见谅)点击后会提示,网页只有在IPhone手机的2g网络下才能查看,显然我们用window是没法子的,所以我们哟啊通过bp抓包,然后修改头部信息
2020-08-01 15:22:03
1745
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人