- 博客(12)
- 收藏
- 关注
RSS订阅原创 DWVA靶场-爆破、命令执行、CSRF、文件上传、文件包含、不安全的验证码、SQL注入,七个模块低中高新手练习
目录模块一 Brute Force(爆破) Security level is currently: Low Security level is currently: mediumSecurity level is currently: highSecurity level is currently: impossible防御措施模块二 Command Injection(命令执行) Security level is currently: Low S
2022-10-06 10:25:38
1090
原创 新手搭建腾讯云服务器
购买轻量应用服务器的时候并没有设置密码,轻量服务器创建后,想要登录到云服务器,必须先重置密码,然后使用新密码登录到云服务器上。上面的Bt-Panel、username和password分别对应公网访问地址、用户名和密码。轻量服务器开通宝塔8888端口,用同样的方法开启继续888/80/443/20/21端口。访问外网面板地址,用账号和密码登录宝塔,然后安装推荐的LNMP环境套件。可以自己搭建,也可以一键搭建属于自己的网站。安装BT面板,后面直接yes继续就好了。中间会弹出一个提示,输入y。
2022-10-04 15:05:12
488
原创 Xss-labs(1)第一关到第十一关
Xss-labs靶场训练第一关:查看页面源代码回显playload长度:插入一段js代码,get传参,一个简单的插入顺利来到第二关,二话不说先直接尝试插入,并没有成功:查看页面源代码:特殊字符被实体转义了我们需要闭合掉双引号即可,构造payload,这一关是闭合绕过来到第三关,随便输入一个闭合弹窗试试,符号也被实体化了:查看php源码。
2022-09-25 22:35:51
811
原创 永恒之蓝靶场
模拟永恒之蓝攻击过程的话,需要win7(靶机)处于登录状态,来获取用户名和密码从而达到远程控制的目的,模拟hack已经打入内网与靶机处于同一网段(所以用ipcongfig来查看网关信息)输入run/exploit执行攻击(这个过程需要多等一会儿,如果这里出现问题去看看靶机的防火墙是不是开启了,把防火墙关闭再运行一下就好了)address 192.168.1.53 //配置eth0的固定IP地址,网段要和物理机的一样,且此IP未被使用。设置攻击主机的ip地址,显示配置信息。............
2022-08-13 12:04:27
2144
原创 搭建网站模拟webshell写入
下一步就是在public目录下通过请求参数去写入shell,攻击者上传Webshell后,往往还会执行进一步的操作,如提权、添加用户、写入系统后门等,实现持久化驻留。对日志进行分析,严格管理权限,排查网站可能存在的漏洞,使用河马查杀webshell,使用wireshark抓包工具捕获网络流量并进行分析。在物理机上搭建网站,实现对网站写入webshell,并用菜刀连接木马,从而对门户网站信息篡改,获取门户网站的敏感信息。·采用白名单机制上传文件,不在白名单内的一律禁止上传,上传目录权限遵循最小权限原则。...
2022-08-13 11:52:59
696
原创 upload-labs第1-3关解题
payload写一些有可能被解析为php的文件后缀的字符,大小写绕过,双写绕过,一些利用操作系统特性(比如服务器是windows系统的话,结尾加点,加空格,加::$DATA,后缀某几个字母大写),web容器解析漏洞绕过黑名单的后缀……上传带有木马的php文件,可以是一句话木马,这题主要是MIME类型绕过,所以我们要修改Content-Type类型为允许上传的类型(看源代码允许上传的是jpg文件)在本地浏览器中访问上传文件的位置,可以看到没有之前上传的jpg格式的文件,而是修改类型以后直接上传的php文件。.
2022-08-13 11:41:47
445
原创 Win10环境下安装docker
Windows功能中Hyper是否开启,这个是与虚拟机相关的,具体详情百度吧。本机中安装过vm的会被隐藏起来。在应用商城中下载ubuntu,这里是已经下载过的了,然后双击安装设置用户名和密码,输入exit退出就好。直接安装docker,这个过程有点慢,不需要做什么,耐心等待一会,重启,出现这样就算安装成功了。然后到docker官网下方的desktop下载win10版本,也可以使用下方我分享的网盘下载。在设置中找到应用和功能右侧的相关设置下点击程序和功能。...
2022-08-05 11:28:17
213
原创 攻防世界-web-Training-WWW-Robots
打开链接,根据题目提示直接构造payload/robot.txt,robots.txt是一个协议,而不是一个命令。攻防世界-web-Training-WWW-Robots。在题库中获取题目,并获取在线场景(规定时间内完成)根据提示直接构造url的payload获取flag。返回攻防世界提交flag。...
2022-07-31 23:24:32
166
原创 渗透测试知识---行业术语
通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解的方式获得对系统的普通访问权限,进入系统后,再通过,对方系统内存的安全漏洞获得系统的root权限。这是一个形象的比喻,攻击者在利用某些方法成功控制了目标主机后,可以在对方的系统中植入特定的程序,或者是修改某些设置,这些改动表面上是很难被察觉的,但是攻击者却可以使用相应的程序或者方法来轻易的与这台电脑建立连接,重新控制这台电脑,就好像攻击者拿到了你房间的钥匙,可以随时进出而不被发现。可以上传下载文件,查看数据库,执行任意的命令。...
2022-07-22 15:32:02
1424
原创 在本地怎么使用phpstudy搭建WordPress网站
在本地怎么使用phpstudy搭建WordPress网站。在本找到wp-config-sample的文件名字改为wp-config,以记事本打开后数据库名、用户名、密码三个参数并保存。在软件管理中找到phpMyAdmin4.8.5安装到localhost下,其他项目也可以使用。安装好小皮面板以后,点击网站,创建网站自定义域名和端口(演示创建网站的过程,下面使用的是重新创建的网站)在phpstudy_pro安装路径下www找到创建的网站文件。在小皮的数据库中添加用户的数据,以便网页与数据库建立连接。.....
2022-07-20 20:55:27
4405
3
原创 Ubuntu安装VMware tools工具
1、点击安装VMware tools2、挂载完成后就可以在左侧任务栏项看见CD盘,双击打开VMware tools盘,然后将文件复制到或者提取到你要存放VMware tools文件的目录下。3、右键提取后,回到桌面右键提取到此处如下图:4、使用Ctrl+alt+T打开终端窗口,打开新终端,只需使用快捷键Ctrl+Alt+T(可百度打开终端的几种方式),cd vmware-tools-distrib/进入到该文件夹,ls查看该文件夹下的内容。5、执行安装程序2.sudo ./vmware-tools-dist
2022-07-14 17:01:11
15405
3
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人