- 博客(14)
- 收藏
- 关注
RSS订阅原创 XSS漏洞
xss(Cross Site Script)跨站脚本攻击,指的是攻击者在Web页面插入恶意JS代码,这些代码在HTML解释时会被当做脚本执行,所以当用户请求该网页时,嵌入其中JS代码就会被执行,从而达到攻击的目的.
2023-06-19 22:21:47
1214
原创 靶场DC-5
为了验证后续输入命令是否生效,我们可以先查看ngnix的日志,已知对于配置了nginx的网站,无论网站有什么操作,都会被记录在/var/log/nginx/access.log和/var/log/nginx/error.log里面。发送到repeater,看看返回数据,不断点击,发现footer不断变化,说明这里可能存在一个独立的脚本文件,猜测是footer文件,这里其实也可以使用目录扫描工具扫描的,比如御剑。木马文件已经上传,接下来可以利用中国蚁剑或者其他网站管理工具连接访问,我采用的是中国蚁剑。
2023-06-15 11:31:35
143
原创 靶场DC-4
1.利用burpsuite抓包,NC反弹shell2.生成Linux用户加密密码这里使用的是Perl语句,指令:perl - le 'print crypt("原密码","salt“)'openssl passwd的作用是用来计算密码hash的,目的是为了防止密码以明文的形式出现。语法格式: openssl passwd [ option ] passwdopenssl passwd常用的选项如下: - 1 :表示采用的是 MD5 加密算法。
2023-06-11 21:28:07
126
原创 网络安全术语
数据外泄是指在没有得到授权的情况下,数据被泄露或暴露给未经授权的第三方。数据外泄的后果可能会严重影响受影响个人或企业,包括个人隐私的泄露、商业机密的泄露、公司的声誉受损和巨大的法律责任等。
2023-06-11 21:08:59
279
原创 文件上传漏洞
经过前面的操作,图片马是上传上去了,但是不能用蚁剑直接连接,这是因为他没有解析其中包含一句话木马的php语句,所以这里就用到了之前写的那个文件包含的php脚本了,利用文件包含的这个漏洞去解析图片文件中插入的php一句话木马。出现下面的界面基本是成功解析了。不过这里要注意下路径,每个人都不一样,按自己实际文件所在的路径来,我的inclu.php文件包含脚本放在了/dv下,后面的?是传参,这里传进去的就是上传的图片马的保存路径。
2023-06-10 15:56:37
196
原创 靶场DC-3
这个工具是专门针对CMS为Joomla的网站所开发的扫描工具,kali里面安装joomscan工具的命令是扫描指令:joomscan --url http://192.168.190.139 ,当然他有很多参数可以使用,比如可以自定义字典等。却有需求的大佬可以自行搜索该工具的具体用法。
2023-06-09 13:41:27
288
1
原创 靶场DC-2
利用爬虫爬取网站,根据网站特点生成字典Cewl爬虫生成字典cewl - url 网址(如https : / / www . baidu . com) - w 文件名(如dict . txt)
2023-06-09 11:43:53
181
原创 靶场DC-1
我们知道哈希密码是单项不可逆的,即使我们打算使用解密软件爆破,也只能穷举,成本比较高,因此,参考大家的博客,大家都是采用替换的方式,即找到靶机的加密算法,将我们自己设定的密码转换成哈希密文,并替换users表中的密码。我们使用浏览器访问:http://192.168190.134:80,网站的登陆图,可以看出需要账号密码,可以猜测应该有重要信息在登陆后的页面内,这个时候我们看到最下面有 Powered by Drupal,说明Drupal是该网站的CMS,猜测该网站可能存在漏洞。
2023-06-09 11:26:43
160
原创 Web克隆钓鱼攻击
Web克隆钓鱼攻击首先保证虚拟机中的kali系统能够和外部网络通信,打开编辑-----虚拟网络编辑器器—更改设置----桥接无线网卡模式。左键单击虚拟机----设置-----网络适配器----选择桥接模式-----确定。在kali中将网络设置改为自动(DHCP):设置—Advanced Network Confiquration—以太网连接1—IPV4----自动DHCP。然后检查我们的虚拟机是不是能够连接上网络,可以通过ping www.baidu.com 进行检查,以下截图表示我们能够正常pi
2021-03-01 21:22:13
436
原创 基于HTTP 无状态特征的cookies劫持实验
HTTP cookies劫持:首先保证虚拟机中的kali系统能够和外部网络通信,打开编辑-----虚拟网络编辑器器—更改设置----桥接无线网卡模式。左键单击虚拟机----设置-----网络适配器----选择桥接模式-----确定。在kali中将网络设置改为自动(DHCP):设置—Advanced Network Confiquration—以太网连接1—IPV4----自动DHCP。然后检查我们的虚拟机是不是能够连接上网络,可以通过ping www.baidu.com 进行检查,以下截图表示我们
2021-03-01 21:15:16
396
2
原创 观察验证交换机工作原理
**观察验证交换机工作原理**实验原理:研究数据链路层 交换机的工作原理交换机收到数据包,解封装到数据链路层学习源MAC地址,让它自己的接口一一对应起来查看目的MAC地址,查看CAM表,找到跟目标MAC地址相对应的接口,将这个数据帧转发给相对应的接口当交换机的CAM表里面没有对应目标MAC的接口信息,交换机会将这个数据包复制,然后发送到交换机的每一个接口。试验过程:第一步:打开ENSP,搭建实验拓扑交换机选用S3700,PC选择默认PC,共三个PC机,PC1、PC2、PC3,选择cop
2020-12-25 22:36:17
773
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人