打卡(web入门简介)(笔记)

最新推荐文章于 2024-08-04 15:09:48 发布
最新推荐文章于 2024-08-04 15:09:48 发布
阅读量268 收藏
点赞数
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62617107/article/details/124577180
版权
本文介绍了BurpSuite的安装、使用,特别是proxy模块和intruder模块的应用,用于拦截和爆破。同时讲解了一句话木马的原理、变形、使用及其检测方法,并简要提到了菜刀和蚁剑两款工具的使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

BurpSuite

一.安装

二.使用

三.proxy模块

代理模块是burpsuite最核心的功能,相当于客户端和服务端之间中间人的角色,可以拦截,查看,修改数据包。

·intercept:可以查看,修改http数据包的内容。可以把数据包发送到其他模块。

·httphistory:可以查看所有经过代理服务器的数据及详情

·WebSockets history:主要用于记录WebSockets的数据包

·options:对代理服务的一些设置,如:代理监听的端口,请求包的拦截规则等。

四.intruder模块(用来爆破的模块)

·target:设置攻击目标的主机号和端口

·position:设置有效荷载的位置和攻击模式

sniper:对变量依次进行破解

battering ram:表示对变量同时破解

pitchfork:每个变量对应一个字典,取各自字典的对应项进行破解

cluster bomb:每个变量对应一个字典,交叉组合破解

·payloads:对payload相关的设置

Payload Sets:设置Payload数量和类型

Payload Options:设置payload

Payload Processing:设置一些规则,对Payload进行编码

Payload Encoding:设置对某些字样进行URL编码

五.decoder模块

可以进行一些编码转换,hash加解密,还有智能解码功能

一句话木马介绍

什么是?

一句话木马,它是个可执行脚本文件,把脚本文件上传到目标服务器,然后文件被执行解析,就可以达到控制目标服务器的目的。

一.原理

传入cmd=phpinfo();

 上传木马攻击成功必须满足三个条件:

·木马能够成功上传到服务器

·我们知道木马上传到服务器的路径

·上传的木马能被解析执行

二.木马的各种变形

 

 

 三.木马的使用

1.执行命令系统

 2.读文件

 

 3.遍历目录

scandir()函数返回一个指定目录中的文件和目录的数组

四.木马的特征与杀查

1.代码执行函数

 2.命令执行函数

 3.文件操作函数

4.包含函数

require,require_once

include,include_once

5.特殊函数

phpinfo

变量覆盖 parse_str,extract

不死马的杀查

1.重启服务,比如php等web服务

2.创建一个和不死马同名的文件夹

3.删除相应进程。查出不死马进程pid后,用命令kill-9 PID杀掉进程

4.竞争写入删除不死马的文件,usleep的时间必须小于不死马的延迟时间才会有效。

菜刀蚁剑使用介绍

 

 

【ESP 保姆级教程】疯狂毕设篇 —— 案例:基于ESP8266的WiFi自动打卡考勤系统
单片机菜鸟哥的博客
12-29 2611
现代社会上,基本上人手一部智能手机,自带wifi功能。只要我们打开了WiFi功能,我们就可以通过`自动捕获手机`发出的 802.11 帧 来获取到对应的手机MAC地址。当我们在后台服务器上预先配置好 MAC地址与用户信息的关联关系(比如`用户名字、用户工号、学生编号`等),并且把捕获到的MAC地址上传到后台服务器进行对比,我们就可以完成自动考勤或者无线点名功能。这整个过程都是无感知、全自动。
「接口测试入门课」打卡学习 day02:没有任何文档,怎么快速了解接口信息?
大田的博客
07-18 450
总结不论你在工作中遇到的是很好支持的开发还是不好合作的开发,都要保持自己的技术能力,尽最大的努力完成自己能够完成的所有事情,只有这样才能提高自己在团队中的话语权。对于request消息体中,还有未知的Cookie内容,他是完成接口测试必须要模拟并传递的信息,必须尽可能完善它,让他成为接口测试必要输入条件之一。这时,需要制作一个流程中所有接口的接口信息表,理清每一个流程的数据流程,数据流程驱动了业务流处理,这样就能开始业务逻辑的几口测试了。拿着上面的那张表格,找到对应的开发,问清楚表格中标红部分的参数。...
打卡web-webshell
m0_44953574的博客
10-03 187
我们先看题目 进入题目我们看到一句话木马 一句话木马,可以用蚁剑这个软件来做,我们打开蚁剑,添加数据,然后打开里面的文档发现flag在这里插入图片描述
web学习打卡:JavaScript中
youyang的博客
09-11 286
变量中的作用域 什么是作用域? 变量或者函数可以访问的范围。他控制着变量或函数的可见性和生命周期。 在js中变量或者函数的作用域可分为: 函数作用域:只在当前函数内可访问。 全局作用域:一经定义,在代码任何位置都可访问。 函数作用域中的变量 等于局部变量,且全局作用域中的变量为全局变量。 声明的提前 js在执行之前,会将左右的声明的变量和function声明的函数,预读到所在作用域的顶部,但是...
web学习日常打卡
qq_42322716的博客
03-15 230
Burp Suite功能详解——proxy模块
weixin_54072578的博客
11-21 8022
Proxy-代理模块 Burp Proxy 是Burp Suite的核心,通过代理模式,可以让我们拦截、查看、修改所有在客户端和服务端之间传输的数据。 Proxy组件下有四个标签,分别是 Intercept(拦截), HTTP history(HTTP历史), WebSockets history(WebSockets历史), Options(选项)。 Intercept(拦截) 我们需要的数据包都是在这个模块操作的,在这里可以实现对数据的拦截,查看,修改,传送等功能。 Intercept is.
BurpSuite--Proxy详解
ve9etable的博客
07-16 2548
BurpSuite--Proxy 目录 代理设置 浏览器代理设置 FoxyProxy插件使用 Burp Proxy基本使用方法 Intercept HTTP history WebSockets history 案例:使用Proxy截包改包 代理设置 Burp Suite用代理模式拦截通过代理的网络流量,主要拦截HTTP和HTTPS的流量,拦截时,Burp Suite以中间人方式对客户端请求数据、服务端返回做各种处理,以达到安全评估测试的目的。所以我们就需要对Web浏览器进行代理设置
蜗牛学苑网络安全随堂笔记打卡官网获得的
07-13
蜗牛学苑网络安全随堂笔记i,打卡官网获得的
打卡(PHP入门&&SSRF漏洞)(笔记
m0_62617107的博客
05-09 503
PHP入门 什么是PHP? PHP(PHP: Hypertext Preprocessor)即“超文本预处理器”,是在服务器端执行的脚本语言,尤其适用于Web开发并可嵌入HTML中。PHP语法学习了C语言,吸纳Java和Perl多个语言的特色发展出自己的特色语法,并根据它们的长项持续改进提升自己,例如java的面向对象编程,该语言当初创建的主要目标是让开发人员快速编写出优质的web网站。 PHP同时支持面向对象和面向过程的开发,使用上非常灵活。 经过二十多年的发展,随着php-cli相关组件的快速发展
微信小程序入门笔记(一)
tian_98的博客
12-25 3449
day 01 1.微信公众平台 https://mp.weixin.qq.com/ 品牌,营销 1.1微信公众平台概念 微信公众平台,简称公众号。曾命名为“官号平台”、“媒体平台”、微信公众号,最终定位为“公众平台”,无疑让我们看到一个微信对后续更大的期望。 利用公众账号平台进行自媒体活动,简单来说就是进行一对多的媒体性行为活动,如商家通过申请公众微信服务号通过二次开发展示商家微官网、微会员、微推送、微支付、微活动、微报名、微分享、微名片等,已经形成了一种主流的线上线下微信互动营销方式。 1.2微信公众
web端实现考勤管理系统
07-12
前端angular js +bootstrap 后端SSM框架,实现功能:登录、注册、分页、显示学生列表、显示班级列表、添加学生信息、添加班级信息、删除学生信息’
BurpSuite教程——渗透测试第一关:BP工具使用
最新发布
goldfish8848的博客
08-04 2630
BurpSuite的核心功能是Proxy——“代理”。代理模块主要用于拦截浏览器的http会话内容,给其他模块功能提供数据。Proxy向下又分为四个部分:Intercept、HTTP historyWebsockets history、options。
WebSocket通信安全概览
y473158Yansu的博客
10-21 170
WebSocket协议旨在取代使用HTTP作为传输层的现有双向通信技术,以从现有基础设施(代理、过滤、身份验证)中获益,因为HTTP最初并不打算用于双向通信,所以这项技术也被视为提高效率和可靠性之间的权衡。
工具----4、burpsuite模块使用讲解
七天
12-11 2261
文章目录前言一、安装二、使用0X1.Target(目标)-- 显示目标目录结构0X2.Proxy(代理)-- 截断HTTP/S数据流量的代理服务器0X3.Spider(爬虫)-- 用于自动抓取Web应用程序0X4.Scanner(扫描)-- web应用程序安全扫描0X5.Intruder(入侵)-- 对web应用程序进行自动化攻击0X6.Repeater(中继器)-- 以手动重发测试请求0X7.Sequencer(序列)-- 分析数据项样本中随机性质的工具0X8.Decoder(解码器)-- 执行数据的编解
Burp Suite Pro(黑客必备工具详解)
weixin_50904074的博客
06-29 1万+
目录一、Burp Suite Pro 工具简介二、Burp Suite 常用模块详解和使用1、Dashboard(仪表盘,用于显示任务、日志信息、漏洞扫描信息等) 1.1 Tasks 1.2 lssue activity1.3 Event log 2、Target(目标)2.1 Site map(站点地图)2.2 Scope(范围)2.3 lssue definitions(漏洞详解) 3、Proxy(代理)3.1 Intercept(数据拦截模块)3.2 HTTP histor
websockets_Websockets在数据工程中鲜为人知的模式
weixin_26729841的博客
09-09 554
websocketsLearn how to use the API approach to enable full duplex data transfer between client and server asynchronously using WebSockets which is an upgrade from HTTP, with a working Python code. 了解如...
Web安全 — BurpSuite实战
天地沧海
01-28 1127
https://www.freebuf.com/column/155797.html https://www.freebuf.com/column/156238.html burp简介 Burp Suite是Web应用程序测试的最佳工具之一,可以对请求的数据包进行拦截和修改,扫描常见的web安全漏洞,暴力破解登录表单、遍历数据等等。 Burp所需环境 Burp Suite是Java编写的...
websocket 历史及使用详解
weixin_34244102的博客
03-31 965
一、阅前热身 什么是keep-alive 1、keep-alive只是客户端的一种建议 我们打开百度首页,进一步查看header。 image_1b2idfp2k4ecu8pagh1mkutf39.png-415.7kB 如图,我们看到请求header中有一行: Connection:keep-alive复制代码keep-alive是通知服务器,在这个HTTP Request/Responset结...
BurpSuite系列()----Proxy模块(代理模块)
热门推荐
fendo
01-15 2万+
一、简介 Proxy代理模块作为BurpSuite的核心功能,拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。 Burp 代理允许你通过监视和操纵应用程序传输的关键参数和其他数据来查找和探索应用程序的漏洞。通过以恶意的方式修改浏览器的请求,Burp 代理可以用来进行攻击,如:SQL 注入,cookie
C#实现的自动打卡WEB操作教程
一个自动化的解决方案可以减轻用户忘记打卡的顾虑,同时也能够在用户无法及时到达打卡机旁时,通过自动打卡的方式来解决问题。 ### 文件名称列表知识点 #### WindowsFormsApplication4 这个文件名称表明这个项目是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值