
kali
文章平均质量分 85
以我之名,换我未来
努力学习
展开
-
命令注入漏洞
命令注入攻击(即Command Injection)是web应用程序对用户的输入提交的数据过滤不严格,导致攻击者构造恶意的特殊命令字符串的方式将数据提交到web应用程序中,从而执行外部程序或系统命令来进行攻击,非法获取目标服务器的数据资源。继承Web服务器程序(web用户)权限,去执行系统命令继承Web服务器权限,读写文件反弹Shell控制整个网站控制整个服务器测试IP地址:8.8.8.8(返回ping的结果)自己本机地址也是一样的。原创 2023-04-23 20:51:41 · 1573 阅读 · 0 评论 -
Web安全——文件包含漏洞
文件包含漏洞是“代码注入”的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。“代码注入”的典型代表就是文件包含。文件包含漏洞可能出现在JSP、PHP、ASP等语言中,原理都是一样的。在PHP中,有四个用于包含文件的函数,当使用这些函数包含文件时,文件中包含的PHP代码会被执行。本地文件包含LFI(Local File Inclusion)当被包含的文件在服务器本地时,就形成本地文件包含。原创 2023-04-22 22:14:13 · 1189 阅读 · 0 评论 -
文件上传攻击
文件上传攻击实质上就是拿下网站的控制权,户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向上上传可执行的动态脚本文件。在我们的日常生活中经常会遇到,例如,我们在上传文件时,后台服务器对其文件检测不严时,通过修改后缀名进行执行木马病毒。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。WebSell:以ASP、PHP、JSP等网页文件形式存在的一种命令执行环境,也叫网页后门。原创 2023-04-20 22:30:43 · 1693 阅读 · 1 评论 -
暴力破解——Web安全
暴力破解原创 2023-04-19 20:36:26 · 2752 阅读 · 3 评论 -
XSS攻击实战
XSS攻击全程跨站脚本攻击。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。与SQL注入类似,XSS也是利用提交恶意信息来实现攻击,但是XSS一般提交的是JavaScript脚本,运行在Web端,就是用户的浏览器。SQL注入提交的SQL命令在后台的数据库服务器执行。原创 2023-04-18 23:07:27 · 2805 阅读 · 0 评论 -
kali基础环境搭配
基本的kali安装原创 2023-04-13 17:41:10 · 3324 阅读 · 5 评论 -
Nmap的基本使用
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是必用的软件之一,以及用以评估网络。正如大多数被用于网络安全的工具,nmap 也是不少黑客及骇客(又称)爱用的工具。可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。Nmap 常被跟评估系统漏洞软件混为一谈。Nmap 以隐秘的手法,避开闯入。原创 2023-04-15 11:49:38 · 2605 阅读 · 1 评论 -
SQL注入实战
所谓的SQL注入,就是通过把恶意的sql命令插入web表单递交给服务器,或者输入域名或页面请求的查询字符串递交到服务器,达到欺骗服务器,让服务器执行这些恶意的sql命令,从而让攻击者,可以绕过一些机制,达到直接访问数据库的一种攻击手段,而不是按照设计者意图去执行SQL语句。原创 2023-04-17 22:53:49 · 2027 阅读 · 0 评论