web渗透测试学习笔记

最新推荐文章于 2023-05-28 12:00:00 发布
原创 最新推荐文章于 2023-05-28 12:00:00 发布 · 295 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WEB渗透测试

web渗透测试

by Krypt0n

渗透测试思路
  • 0x01.获取目标站点域名,根据域名获取网站IP地址,根据域名反查该ip或域名下其他站点。
  • 0x02.进入目标页面,找到带参数的页面,初步进行手工测试是否存在sql注入。
  • 0x03.如果存在注入,上工具检测,如啊D注入工具,穿山甲等;进行暴表爆字段。
  • 0x04.利用站点扫描工具,找到网站后台登陆地址,也可结合经验进行手工测试。
  • 0x05.如果可以找到后台,用第3步爆破的管理帐户和密码登录之,寻找上传点和可以利用的地方,上传一句话木马或者一句话图片木马,如果不行,可根据目标数据库和后端架构漏洞构造合适的上传方法。
  • 0x06.利用菜刀等工具连接木马站点,然后上传大马WEBSHELL。
  • 0x07.登录webshell,根据具体站点情况进行提权操作,继而拿下目标站点的服务器。
web 渗透测试笔记
Sumarua的博客
07-06 2857
web渗透测试笔记大全,带命令和脚本
web渗透测试笔记(持续学习)
qq_40410406的博客
11-13 518
WEB渗透测试 准备环境 步骤1 安装 1 owasp靶机安装 2 kali虚拟机安装 步骤2 网线选择 NAT方式:虚拟机可以上网,外部无法访问虚拟机 桥接方式:虚拟机可以上网,外部也可以访问虚拟机 dhclient -v eth0//释放ip dhclient eth0//获取ip ip a //展示ip 文件上传漏洞 文件上传是大部分web应用所具备的功能,例如用户上传附件、头像、分享图片或者视频。当恶意用户上传一些恶意代码或者恶意文件,就会导致文件上传漏洞。 实验1(低级别) 文件
Web渗透测试学习笔记
s40d1's Blog
05-26 5255
文章目录第一章 信息收集1.1域名信息1.1.1whois查询1.1.2备案信息查询1.2敏感信息1.3子域名信息1.3.1 子域名检测工具1.3.2搜索引擎枚举1.3.3第三方聚合应用枚举1.3.4证书透明公开日志枚举1.4端口信息1.5指纹信息1.6真实IP1.7敏感目录文件1.8社会工程学第二章 环境搭建2.1在Linux中安装LANMP2.2在Windows中安装wamp2.3搭建DVWA漏洞平台2.4搭建SQL注入平台2.5搭建XSS测试平台第三章 渗透工具3.1sqlmap3.1.1安装3.1.
web渗透之学习笔记
shy的博客
10-15 927
一、sqlmap -p 指定注入点 –technique 指定注入类型 B:Boolean-based blind(布尔型注入) E:Error-based(报错型注入) U:Union query-based(可联合查询注入) S:Stacked queries(可多语句查询注入) T:Time-based blind(基于时间延迟注入) Q:Inline queries(嵌套查询注入) oracle 默认的端bai口号是1521 ...
WEB渗透学习笔记1——http
林林木林林L的博客
07-20 453
WEB渗透学习笔记1 OWASP 开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件 OWASP TOP10:OWASP(开放式Web应用程序安全项目)的工具、文档、论坛和全球各地分会都是开放的,对所有致力于改进应用程序安全的人士开放,其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结了Web
web 渗透测试项目学习笔记.zip
11-29
学习笔记涵盖了基础知识和多种实用工具的使用方法,是深入学习web渗透测试不可或缺的参考资料。 首先,基础知识是学习web渗透测试的起点。这部分内容包括对网络协议、HTTP/HTTPS协议、网络数据包的结构、应用程序...
渗透测试学习笔记资源
08-19
渗透测试(Penetration Testing,简称“Pen Test”)是一种针对计算机系统、网络和Web应用等目标的模拟攻击行为的安全评估方法。目的是发现并利用潜在的安全漏洞,从而帮助组织机构提高其系统的安全性。 #### 2. ...
渗透测试学习笔记
Tom197的博客
06-08 1780
2.子域名查询 3.NDS2IP 查询IP,可以通过ping域名方式获得。 站长之家也可以获得,得到IP更详细,通过不同服务器访问,得到大致位置。 nslookup 域名 dig 域名 dnsenum 域名 4.nmap测试 测试服务器所在局域网情况(服务器有哪些设备,开放了什么端口端口),防止一台服务器被攻陷,再延续到局域网其他服务器,nmap -sp 地址。 nmap -O 查询这一网络中每一台设备是什么系统 。AWVS ——new scan 输入网站地址,得到所有漏洞的信息,点击相应漏洞,右侧出
关于web安全和渗透测试学习笔记.zip
最新发布
11-29
在网络安全领域,web安全和渗透测试是两个至关重要的主题,对于理解如何保护网络环境免...通过本文的学习笔记,读者应该能够对web安全和渗透测试有一个全面的理解,并在实际工作中运用这些知识来提高网络安全防护水平。
Web渗透学习笔记.zip
11-29
综合以上内容,我们可以看出“Web渗透学习笔记.zip”是一个全面、系统的渗透测试学习资料集合,它不仅包含了基础知识与技术工具的学习,还注重实战技能的培养和安全意识的提升。通过对该压缩包内资源的学习与实践,...
web安全渗透笔记
09-15
对于网络安全漏洞分析和利用文章笔记,里面包含了top10漏洞等常见漏洞分析
web渗透学习笔记(一)
Zero2943737590的博客
03-10 292
web渗透学习笔记,域名,DNS,CDN
Web安全攻防:渗透测试学习笔记1(自用)
凌阳的博客
04-19 2196
第一章 渗透测试之信息收集 在信息收集中,最主要的就是收集服务器的配置信息和网站的敏感信息,其中包括域名及子域名信息﹑目标网站系统﹑CMS指纹﹑目标网站真实IP﹑开放的端口等。换句话说,只要是与目标网站相关的信息,我们都应该去尽量搜集。 1.1 收集域名信息 知道目标的域名之后,我们要做的第一件事就是获取域名的注册信息,包括该域名的DNS服务器信息和注册人的联系信息等。 1.1.1 Whois 查询 Whois就是一个用于查询域名是否已被注册以及注册域名的详细信息的数据库(如域名所有人、域名注册商) 在Wh
渗透测试笔记
C-A-L-D
05-05 342
hydra暴力破解: https://blog.youkuaiyun.com/sjc_1024/article/details/78669320 使用hydra破解ssh的密码 hydra -L users.txt -P password.txt -vV -o ssh.log -e ns IP ssh 破解https: hydra -m /index.php -l username -P pass.txt ...
渗透学习——资料整理
weixin_34153893的博客
08-24 296
来自女神的渗透练习网站:http://xss.tv/index.php?do=login 转载于:https://www.cnblogs.com/Erma/p/7425343.html
web攻防渗透实战指南学习笔记
weixin_53903476的博客
12-29 2420
1、信息收集 信息收集是渗透开始前最重要的一步,主要收集一下内容: 1.1收集域名信息,在知道域名信息之后我们要收集注册信息,包括该域名的DNS服务器信息,和注册人的联系信息等,方法如下 1、whois查询 2、备案信息查询 1.2收集敏感信息 利用谷歌直接进行后台登录、收集数据库、SQL注入、配置信息、源代码泄露、未授权访问和robots.txt等信息收集 1.3、子域名信息收集 1、子域名检测工具 2、搜索引擎枚举 3、第三方聚合应用枚举 4、证明透明度公开日志枚举 1.4收集常
Web安全-----渗透测试课程笔记(一)
不会CTF的博客
07-05 828
目录前言:第一天学习内容什么是HTLM?HTTP的产生还是为HTML服务的.什么是CSS?什么是JavaScript(JS)第二天学习内容PHP_环境什么是phpinfo呢?静态网站的访问过程动态网站访问过程php基础php变量 前言: 学习了很久web了,总是东一边西一片的学,中间总是不断的间断,写下论文见证自己,暑假来了,努力的学一些自己喜欢的,多动手做笔记,希望自己可以变的更优秀,也给同样的朋友打个气,努力努力再努力!之前的水论文我也不舍得删就留着吧!今天开始认真整理笔记!!! 第一天学习内容 什么是
《metasploit渗透测试魔鬼训练营》学习笔记第四章—web应用渗透
2301_77162959的博客
05-28 259
W3AF分为八类模块:发现模块(查找HTTP信息,并探测服务器,数据库等信息),审计模块(探测漏洞),搜索模块(捕获信息),攻击模块 (读取扫描信息,并试图通过模块插件攻击),输出模块(输出扫描结果),修改模块(修改信息),入侵模块(绕过入侵检测系统),破解模块(破解需要认证的页面,支持基本认证机制和表单登陆机制的破解)渗透模块分散在module中的多个文件夹下,有针对主流CMS的漏洞,也有针对各种数据库漏洞的模块,同时也包含了成功后用来操作的webshell。kali中没有集成这个工具,需自行下载。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值