目录
1、浏览器访问靶机ip地址:https://192.168.119.129/WackoPicko/
kali:Kali Linux 操作系统 |渗透测试和道德黑客 Linux 发行版
靶机:OWASP Broken Web Applications Project 下载 |SourceForge.net
前言-漏洞的危害:
漏洞是指计算机系统或软件的缺陷或错误,它可以被攻击者利用来获取系统的控制权或者执行恶意操作,从而对系统或数据造成危害。以下是漏洞可能带来的危害:
1. 信息泄露:攻击者可以利用漏洞来窃取数据或者敏感信息,如个人身份信息、财务信息、公司机密等。
2. 系统崩溃:攻击者可以使用漏洞来引起系统崩溃或拒绝服务攻击,导致系统不可用或无法正常工作。
3. 恶意操作:攻击者可以利用漏洞来执行恶意操作,如加密文件并索要赎金、远程控制系统并操纵操作等。
4. 超级用户权限:攻击者可以利用漏洞来获取系统的超级用户权限,从而获取对系统的完全控制权。
5. 滥用漏洞:攻击者可以将漏洞作为攻击工具,向其他系统或用户发起攻击,造成更大的危害。
漏洞的危害不容小觑,因此用户和组织必须及时更新和修补漏洞,加强系统和应用程序的安全措施,以确保数据和系统的安全。
一、简介
kali简介:
Kali Linux是一个基于Debian的Linux发行版,主要用于数字取证、渗透测试和安全研究。它的开发由Offensive Security Ltd进行,该公司也维护着Metasploit项目。Kali Linux集成了数百个预装工具,包括Nmap、Aircrack-ng、Metasploit、John the Ripper、Wireshark等,可执行网络侦察、漏洞分析、密码攻击、无线攻击、社会工程学等多种安全测试与攻击。Kali Linux还拥有一个定制的内核,包含了多种安全特性,如SELinux、AppArmor、Kernel Module Signing等。
zap简介:
OWASP Zed Attack Proxy(ZAP)是一个开源的、跨平台的网络应用程序安全测试工具。它可以用于自动化地发现并利用Web应用程序的安全漏洞,包括SQL注入、跨站脚本攻击、跨站请求伪造等常见的攻击。ZAP还提供了一个用户友好的图形界面和丰富的API,使得安全测试工作更加高效和易于管理。
ZAP支持常见的HTTP和HTTPS协议,并提供了许多有用的功能,例如拦截和修改请求、定义攻击范围、自定义脚本、参数替换和自动化测试等。此外,ZAP还支持扩展和插件,可以轻松地定制和扩展其功能,以满足您的特定需求。
在使用ZAP进行安全测试时,您可以选择从几种不同的模式中选择最适合您的模式。其中,常用的模式包括:
-
主动模式:在这种模式下,ZAP会模仿黑客的攻击方式,主动发起攻击。它通过模拟多种攻击方式,来发现系统中的安全漏洞。
-
被动模式:在这种模式下,ZAP只是监听客户端和服务器之间的流量,不会主动发起攻击。这种模式适用于已经上线的应用系统,用于检测应用程序是否存在安全问题。
-
脚本模式:在这种模式下,ZAP允许用户编写自定义脚本,以执行特定的安全测试任务。例如检测某个特定URL是否存在安全漏洞等。
总之,OWASP ZAP是一个功能强大、易于使用、可扩展的网络应用程序安全测试工具,可以帮助您发现和修复Web应用程序中的安全漏洞。
二、准备工作:
1、确定/或者安装zap:
安装命令:apt install zaproxy
出现下面就是安装完成,已安装无影响。
可以在菜单栏中查找到zap。
2、确定端口设置正确:
打开zap,进入设置界面:
更改本次实验使用端口;
本次实验端口改为8088;
3、确定靶机ip地址:
ip查看命令:ifconfig;这是ipv4的地址。
4、浏览器设置代理:
三、开始实验:
1、浏览器访问靶机ip地址:https://192.168.119.129/WackoPicko/
2、回到zap中即可发现已记录浏览器访问的靶机地址网站:
3、开始攻击:
4、等待结果:
5、查看漏洞:
扫一扫
2334
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
