Penetration experience summary | Network security

已于 2023-02-27 15:30:01 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: Network security 文章标签: 漏洞挖掘 资产收集 nmap 漏洞寻找 爆破
于 2023-02-22 15:59:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44340129/article/details/129164473
版权

本文授权自 MagicBoy

Penetration experience summary | Network security

1. 资产搜集

1.1. 利用FOFA,云悉等搜集web资产,并查看各种开发模板、组件版本等信息

1.2. 利用 dirsearch、御剑等工具扫描目录、文件

1.3. 利用 nmap 扫描,确认开放端口,寻找端口漏洞

1.4. 爱企查查找其他目标

2. 漏洞寻找

2.1. 登陆界面

2.1.1. 手工尝试弱口令、SQL注入、XSS、URL重定向漏洞

弱口令: admin/admin, admin/123456, test/123456, 111/111, admin/空密码

SQL注入: 引号, 万能密码

2.1.2. 确定开发模板,寻找已知漏洞

OA系统: 致远OA、 泛微OA、 通达OA、 用友OA

CMS系统: 织梦cms、 帝国cms、 phpcms

尝试默认密码

2.1.3. F12 观察 js 代码里泄露的敏感信息

寻找 js 代码里泄露的密码、目录、具体文件,可能存在密码泄露、未授权访问等漏洞

针对网站框架固有的漏洞,如 webpack 打包工具可能还原打包前的 js 源码

2.1.4. 尝试是否存在逻辑漏洞

修改返回包的参数

2.1.5. 爆破账户名、密码

拥有一个品质上好的字典

如有侵权,请联系作者删除

数字遗忘权:在网络时代保护个人历史的权利
AI天才研究院
03-08 933
【代码】数字遗忘权:在网络时代保护个人历史的权利。
安全大模型以及训练数据集
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
05-21 506
安全大模型和数据集
backtrack工具列表及介绍
积木网络
01-07 1万+
积木网络 Tools 1 Tools Found on BackTrack 3.0 Final (This wiki is still being updated for the latest release) 1.1 Information Gathering 1.1.1 0trace 0.01 1.1.2 Ass 1.1.3 dig 1.1.4 DMitry 1.1.5 DNS
Wireless Hacking: Breaking Through
湘程国际集团——技术日记
02-13 6834
"To advance irresistibly, push through their gaps."—Sun TzuIf you have already read the wireless penetration testing section of the template in Appendix G, you will find that this chapter is a
网络安全职业_我如何开始网络安全职业
weixin_26636643的博客
08-13 893
网络安全职业Throughout my career as a cybersecurity professor, I often get questions about starting a career in cybersecurity. This question seems simple, but it is not easy to answer. If you are reading th...
【国际大厂招人啦】PayPal专场招聘直播,立即占位!
热门推荐
遇见OFFER
07-02 7万+
当当当当!万众期待的!福布斯全球企业榜上有名的!PayPal直播招聘!终于登场啦! 进大厂算什么梦想,走向国际才是王道。外资公司的好(壕),只有去了才知道! 各种职位供你选择,北京上海均有机会! 目录 【关于招聘专场直播】 【关于PayPal】 【岗位概览】 【岗位描述】 Sr. Software Engineer (base SH) Senior Data Engineer (base SH) Sr. Infrastructure Engineer (base SH) Senior/
STAR Conference 2006 将在 2006 年 10 月 16-20 召开
jackei的测试生活
09-29 2913
STAR(Software Testing Analysis&Review) Conference 2006 将在 2006 年 10 月 16-20 召开——可惜地点在美国,咱们无福参加啊 ^_^。本次交流会仍旧分为东、西两个分会场,其中西部的会场设置在美国加利福尼亚州西南部城市 Anaheim(阿纳海姆)的 Disneyland 酒店。STAR 上将会展示了业界在最佳实践、工具等方面的最先进的
Exploiting Cisco Routers: All Part 1-2
FreeXploiT
06-26 4019
Exploiting Cisco Routers: Part 1 Mark Wolfgang 2003-09-29 IntroductionThis two-part article will focus on identifying and exploitingvulnerabilities and poor configurations i
PMP中英文术语对照
不怂,不弱,不退缩,厚积薄发
07-19 1万+
ABC|参见Activity Based Costing ABM|参见Activity Based Management Abstract Resource|抽象资源 Abstraction|抽象 AC|实际费用 Acceleration|加速 Acceptability Criteria|验收标准 Acceptable|可接受的 Acceptable Quality Level|(AQL) 可接受质量水平 Acceptance|验收 Acceptance Criteria|验收标准 Acceptance
5th-Generation Mobile Communication Technology(三)
weixin_43153548的博客
05-17 1002
大多数人都会记得(recall)那些说法(statement),比如“你可以在几秒钟内(甚至在几分之一秒内in a fraction of a second)下载巨大而高质量的电影”,“激光指示器(laser pointer)般的光束可以实时(in realtime)跟踪你的移动设备,无论你在哪里移动”,“你可以远程(remotely)控制无人机(drone)、汽车、工业机器人、医疗手术机器人(medical surgery robot),就像( as if)你自己动手(manipulate)一样”等等。
MATLAB在剪切干涉条纹处理中的应用与优化
最新发布
05-28
内容概要:本文介绍了MATLAB在剪切干涉条纹处理中的应用与优化。首先解释了干涉条纹的概念及其在光学实验中的重要性,接着详细描述了如何使用MATLAB的各种工具箱和技术来处理和分析干涉条纹。文中展示了具体的代码片段,涵盖了图像读取、剪切处理、频域分析(如FFT)、以及高级算法的应用(如小波变换)。最后,讨论了如何通过MATLAB的数据可视化工具将分析结果以直观的形式呈现出来。 适合人群:从事光学实验研究的技术人员、物理系学生、科研工作者。 使用场景及目标:适用于需要处理和分析干涉条纹的研究项目,旨在提高数据分析效率和准确性,帮助研究人员更好地理解和解释实验数据。 其他说明:本文不仅提供理论指导,还附有详细的代码示例,便于读者动手实践,掌握MATLAB在干涉条纹处理方面的具体应用方法。
论文模板-html5响应式新闻博客网站源码-实训商业源码.zip
05-28
论文模板-html5响应式新闻博客网站源码-实训商业源码.zip
导弹六自由度仿真模型的MATLAB Simulink实现与优化技巧 Six-Degree-of-Freedom
05-28
内容概要:本文详细介绍了如何利用MATLAB Simulink构建导弹六自由度仿真模型。首先,文章解释了气动力计算模块,展示了如何通过三维插值和动态压力补偿来精确模拟气动系数的变化。接着,讨论了动力学模块,特别是四元数微分方程的应用及其优势,如避免万向节锁并减少计算量。然后,探讨了控制模块中的PID控制器实现细节,强调了差分替代微分项的实际应用效果。最后,讲解了环境模块中的大气模型,以及如何通过分段函数高效地模拟不同高度层的大气特性。此外,文中还提供了关于仿真过程中常见问题的解决方案,如参数漂移和仿真效率提升的方法。 适合人群:航空航天领域的研究人员、工程师和技术爱好者,尤其是那些希望深入了解导弹飞行仿真技术的人群。 使用场景及目标:① 学习如何使用MATLAB Simulink进行复杂系统的建模与仿真;② 掌握六自由度导弹仿真模型的具体实现方法;③ 提高仿真模型的精度和稳定性,解决实际应用中的常见问题。 其他说明:本文不仅提供详细的代码示例,还分享了许多实用的工程实践经验,有助于读者更好地理解和应用相关技术。
实训商业源码-UI网页设计公司Bootstrap模板-毕业设计.zip
05-28
实训商业源码-UI网页设计公司Bootstrap模板-毕业设计.zip
西门子博图V16飞剪测试程序仿真:初学者入门指南及工业应用
05-28
内容概要:本文详细介绍了如何使用西门子博图V16版本进行飞剪测试程序的编写与仿真模拟。首先简述了博图V16的功能及其在工业自动化中的重要地位,然后逐步讲解了飞剪测试程序的基础构建方法,包括项目的创建、参数设置以及基础代码的编写。接下来重点探讨了仿真模拟的应用,强调其在发现问题和提高效率方面的作用。最后提供了一些实用的代码编写和调试技巧,并附上了一个简单的代码片段作为示例。 适合人群:对工业自动化感兴趣的初学者,尤其是希望快速掌握飞剪测试程序编写技能的新手工程师。 使用场景及目标:①帮助初学者熟悉西门子博图V16的操作环境;②指导用户完成飞剪测试程序的编写与仿真;③提升用户解决实际工业生产中遇到的技术难题的能力。 其他说明:文中提到的内容不仅限于理论知识,还包含了大量实践经验,有助于读者更好地理解和应用所学知识。
基于MATLAB的车牌定位算法设计.doc
05-28
基于MATLAB的车牌定位算法设计.doc
基于SVG的无功补偿技术及其MATLAB仿真研究:三相静止无功发生器与静止同步补偿器的应用 · MATLAB仿真 实用版
05-28
内容概要:本文详细介绍了基于SVG(Static Var Generator)的无功补偿技术及其在MATLAB环境下的仿真研究。重点探讨了三相静止无功发生器(SVG)和静止同步补偿器的工作原理、动态特性以及应用场景。文中通过具体的MATLAB代码展示了SVG的闭环控制逻辑,包括PI调节器的设计、PWM脉冲生成、逆变器控制等关键环节。此外,文章还讨论了Alpha-Beta坐标系的应用优势,并通过仿真实验验证了SVG在改善电能质量方面的显著效果,如降低谐波失真率(THD)、提高功率因数等。 适合人群:从事电力系统工程的技术人员、研究人员以及对无功补偿技术感兴趣的高校师生。 使用场景及目标:适用于需要深入了解SVG无功补偿技术原理及其实现方法的专业人士。目标是掌握SVG的基本理论、仿真建模技巧以及实际应用中的注意事项。 其他说明:文章强调了仿真与实际应用之间的差异,特别是在散热管理和参数调整方面提供了宝贵的实践经验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小饅頭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值