网络安全
关注
分享
扫一扫
文章平均质量分 60
主要学习网络安全
Xlucas
做自己,做一个最普通的分享者
展开
-
kali修改镜像
由于国内访问kali的官方网站或者下载包比较慢,我们可以将kali里面的apt配置修改成国内阿里云的仓库原创 2024-08-24 11:06:49 · 430 阅读 · 0 评论 -
kali安装
Kali Linux 是一个基于 Debian 的 Linux 发行版,专门为渗透测试和安全审计而设计。它包含了大量的安全工具,如 Wireshark、Nmap、Metasploit 等原创 2024-08-24 10:32:49 · 302 阅读 · 0 评论 -
DVWA中文件上传漏洞之High渗透测试
DVWA中文件上传漏洞之High的渗透测试原创 2024-08-11 09:51:50 · 643 阅读 · 0 评论 -
文件上传漏洞-防御
文件上传防御漏洞原创 2024-08-11 00:28:34 · 279 阅读 · 0 评论 -
webshell管理工具-中国蚁剑
中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员,比菜刀功能更加丰富的webshell管理工具原创 2024-08-08 00:32:42 · 469 阅读 · 0 评论 -
文件上传漏洞-HackBar使用
HackBar 是一个用于浏览器的扩展插件,主要用于进行网络渗透测试和安全评估。它提供了一系列方便的工具和功能,可以帮助用户执行各种网络攻击和测试,包括 XSS、SQL 注入、CSRF、路径穿越等。原创 2024-08-05 00:16:56 · 978 阅读 · 0 评论 -
SQLmap使用
sqlmap 是一个开源的渗透测试工具,专门用于自动化检测和利用SQL注入漏洞,以及对数据库服务器进行数据获取和访问操作系统文件系统。Windows注册表访问(Windows registry access)操作系统访问(Operating system access)2、我们可以通过py sqlmap.py -hh查看命令参数。文件系统访问(File system access)技术(Techniques)注入(Injection)检测(Detection)请求(Request)原创 2024-07-30 00:01:49 · 451 阅读 · 0 评论 -
DVWA中SQL注入漏洞细说
Medium级别:就是多了mysqli_real_escape_string 这个函数,这个函数转义字符串中的特殊字符。3、当我们输入 1' union select user,password from users# 的时候可以获取到DB用户和用户对应的md5密码。1、我们在SQL Injection中输入 1' and 1=1# 和 1' and 1=2#。2、当我们输入 1' union select user(),database() #的时候可以获取到DB用户和DB名字。原创 2024-07-29 00:10:40 · 503 阅读 · 1 评论 -
DVWA中命令执行漏洞细说
这里返回是ping Ip的响应时间和当前登录系统的用户,说明后面的whoami命令已经执行了,这样就是存在命令执行漏洞,我们看看这个地方源码是怎么写的,在攻击中,命令注入是比较常见的方式,今天我们细说在软件开发中如何避免命令执行漏洞。4、在DVWA Security页面将安全等级调整为High ,我们在执行命令。执行127.0.0.1&whoami信息还是可以返回,说明命令执行漏洞还在。执行127.0.0.1|whoami信息还是可以返回,说明命令执行漏洞还在。原创 2024-07-26 00:14:46 · 847 阅读 · 0 评论 -
DVWA的安装和使用
DVWA包含十个攻击模块,如暴力破解、命令注入、跨站请求伪造、文件包含、文件上传、不安全的验证码、SQL注入等,这些模块模拟了常见的Web安全漏洞,使得用户可以通过实践这些漏洞来提高自己的渗透测试技能,同时也适用于安全培训和教学。1、将 config.inc.php.dist 复制一份或重命令为 config.inc.php,例如我的配置文件路径在D:\phpstudy_pro\WWW\DVWA\config\。环境部署需要安装2个软件,一个是DVWA,一个是phpstudy。3、测试功能是否正常。原创 2024-07-24 00:28:31 · 731 阅读 · 0 评论