- 博客(21)
- 收藏
- 关注
RSS订阅原创 史上最详细的sql-labs通关秘籍less1-4
到此就完整地过了一遍less1了,总结来说有以下几个步骤:先判断注入类型:是数值型还是字符型,通过测试可知less1为字符型注入(引号包裹id值),闭合单引号判断字段数:用order by测试回显字段:用union select 1,2,3,……获取数据库名:用database()函数获取数据表名:用group_concat(table_name)、information_schema.tables表中的security数据库。
2022-11-24 19:40:18
980
原创 运行java命令时报错Error: opening registry key ‘Software\JavaSoft\Java Runtime Environment‘
cmd运行java命令时报错Error: opening registry key 'Software\JavaSoft\Java Runtime Environment'
2022-10-10 11:16:16
13658
10
原创 kali中安装docker并部署Nessus环境
根据下面这篇教程一步步操作,记录自己安装过程中遇到的问题kali安装docker环境安装https协议、CA证书、dirmngr1.apt-get update2.apt-get install -y apt-transport-https ca-certificates3.apt-get install dirmngr添加GPG密钥并更新kali源1.curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian
2021-05-17 20:38:56
2367
1
原创 DNS服务器安装和配置,正反向解析配置
DNS域名系统DNS(Domain Name System)是一种组织域层次结构的计算机和网络服务命名系统,提供的服务是将主机名和域名转换成ip地址。在tcp/ip网络中,计算机之间进行通信需要依靠ip地址。p地址由一组数字组合而成,用起来很不方便,为解决这一问题,需要为用户提供一种容易记忆得名称,且需要将该名称转换成ip地址,以便网络通信。DNS域名系统就是这么一种友好得名称体系,其提供的服务就是将DNS名称转换成IP地址。DNS名称采用完全限定域名得方式来表示,由主机名和域名两部分组成。例如:w
2020-12-17 23:05:32
2391
原创 VeraCrypt磁盘加密软件
VeraCrypt介绍VeraCrypt是一款开源的 磁盘加密软件。VeraCrypt支持Windows、MacOS和 Linux 平台 ,暂不支持安卓和iOS。相对于其他磁盘加密软件,VeraCrypt的优势在于:开源,活跃开发中。TrueCrypt的另一个分支CipherShed基本已暂停开发;跨平台,支持PC上的主流操作系统。对比之下BitLocker官方仅支持Windows、eCryptfs只支持Linux;安全,2016年由专业机构对VeraCrypt进行安全审计,发现多个高危漏洞并进
2020-12-02 11:20:57
2329
原创 Burpsuit使用教程-代理模块
burpsuite安装burpsuite安装burpsuite简介1.java环境、burpsuite官网下载2.应用场景:http服务端接口测试http客户端和http服务端通信测试cookie统计分析http服务器web安全扫描web页面爬取web常用编码和解码字符串随机性简单分析文件差异对比分析3.界面认识:burpsuite界面中英文转换4.Proxy代理模块:proxy模块intercept is on为拦截状态,拦截所有通过burp proxy的请求数据;
2020-11-02 17:30:55
548
原创 wireshark、被嗅探的流量、数据包中的线索
Wireshark工具使用教程安装链接:工具介绍:Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcap network library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!使用wireshark就得先了解网络协议,否则就看不懂wireshark了。为了安全考虑,wireshark只能查看封包,而不能修改封包的内容,或者发送封包。wiresha
2020-10-28 19:32:50
1573
1
原创 存储型xss环境部署及学习
BlueLotus_XSSReceiver(XSS数据接收工具的)安装下载安装包网上下载bxqtee-BlueLotus_XSSReceiver-master的安装包,并解压到D:\phpstudy_pro\WWW目录下。创建网站打开phpstudy,【网站】——>【创建网站】。勾选上创建数据库并设置好数据库的相关信息。修改根目录到bxqtee-BlueLotus_XSSReceiver-master目录下,点击确认。打开网站根据引导进行安装打开网站自动跳转到安装页面,点击安装。记住
2020-10-21 23:35:23
602
1
原创 DVWA简介和安装过程
DVWA简介:1.概念:DVWA(Damn Vulnerable Web App)是一个易受攻击的基于PHP/MySql的Web应用程序,是为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助Web开发者更好的理解Web应用安全防范的过程。2.模块:DVWA一共包含十个模块分别是:Bruce Force //暴力破解Command Injection //命令注入CSRF //跨站请求伪造File Inclusion //文件包含File Upload //文件上传漏洞Insecu
2020-10-21 00:44:18
3109
1
原创 docker布署xss挑战之旅
虚拟机内的文件处理操作Yum(全称为 Yellow dog Updater, Modified)是一个在Fedora和RedHat以及CentOS中的Shell前端软件包管理器。基于RPM包管理,能够从指定的服务器自动下载RPM包并且安装,可以自动处理依赖性关系,并且一次安装所有依赖的软件包,无须繁琐地一次次下载、安装。lrzsz是一款在linux里可代替ftp上传和下载的程序。windows 需要向centos服务器上传文件,可直接在centos上执行命令yum -y install lrzsz,程
2020-10-16 00:25:20
440
原创 Centos7的yum配置本地源及利用yum安装google
c.修改CentOS-Base.repo的内容,用#注释掉所有的mirrorlist属性,同时把baseurl属性的注释去掉,并设置baseurl的属性值为挂载点(即baseurl=file:///mnt/cdrom)两根斜杠是读文件路径,后面是路径。b.把CentOS-Base.repo文件备份,进行修改yum源配置,yum源在/etc/yum.repos.d/目录下,源配置文件以.repo为扩展名。d.清空yum已存在的所有源信息,查看修改后的效果。(尝试用阿里云镜像下载)
2020-10-15 23:46:30
2027
原创 centos7.6安装docker并搭建sqli-labs靶场
Docker & VMware1.Docker :是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化,容器是完全使用沙箱机制,相互之间不会有任何接口。(摘自百度百科)2.与vmware的区别:VMware是在宿主机器操作系统的基础上创建的从操作系统。需要几个相互隔离的应用,就需要启动几个虚拟机,会消耗大量CPU和内存。docker在宿主机的操作系统上创建docker引擎,直接在宿主机操作系统上调用硬件资源
2020-10-14 00:28:51
758
原创 sql注入之盲注相关知识
1.查数据库长度:?id=1 or length(database())>7?id=1 or length(database())>8?id=1 or length(database())=8通过length函数去猜数据库的长度,最后确认数据库长度为八2.查数据库名id=1%20or%20substr(database(),1,1)时间盲注...
2020-09-23 10:56:49
6406
原创 入侵靶机之实战faka题目注入
题目来源:rdctf:8000之faka1.寻找网站注入点刚拿到一个新网站,首先大概浏览网站页面内容,该网站比较简单,可点击的地方较少,在购买卡密的地方选择商品后。下面就自动弹出了价格和库存等信息,猜测这里应该跟数据库是有交互的。2.利用burpsuite抓取数据包找到了与数据库交互的地方之后,用burpsuite抓包获取网站和数据库之间交换的数据。首先要将burp的intercept处于off状态,回到网站将商品信息选择好后点击付款,但不进行支付。然后将burp的intercept打开,在h
2020-09-22 15:49:08
443
原创 利用一句话木马获取网站web权限
1.登录网站后台,寻找文件上传地方进入网站管理后台并登录管理员帐户和密码,寻找文件上传点。此网站有多个可上传文件的地方,在这我们选择附件管理页面中的上传附件。2.写文件
2020-09-14 23:08:58
3304
原创 用sqlmap对靶机实战注入
1.进入rdctf平台部署网站将获得的网址放入浏览器搜索框中,进入网站之后随意点进一个页面。2.检测url是否存在sql注入的风险window键+R调出命令运行框,切换目录到sqlmap的绝对路径后,输入以下命令,利用sqlmap判断此url是否有sql注入的风险。python sqlmap.py -u “http://117.167.136.244:28004/index/narticle.php?nid=3100”下图表明当前的url中的nid存在SQL注入3.在输入下面命令获取数据库名
2020-09-12 00:34:07
548
3
原创 sqlmap安装及使用教程
一.下载sqlmap1.在sqlmap官网进行下载进入sqlmap官网,点击右方的zip进行下载。2.将下载的压缩包放在python文件所在位置,并解压可将文件重新命名为sqlmap。(找不到python文件路径,解决方法见第三步)3.查找python文件路径按win+R,然后输入cmd进行命令运行框。然后输入如下图的命令进行路径查询,查询到后将sqlmap解压后的文件放进去。4.验证sqlmap是否安装成功在命令运行框下,来到sqlmap文件路径下输入如下命令:python sqlm
2020-09-10 00:25:44
4782
1
原创 用宝塔安装sqllab教程
写在前面:新手写博客,不足的地方还请您包容指正,谢谢一.在宝塔面板中建立sqli-lab1.进入宝塔面板并登录2.添加站点点击添加站点在弹出的窗口中填好信息,(此处可以考虑更改php版本,7.x版本易出现问题,也可后面出现问题后再进行更改)3.将sqli-lab文件压缩包上传到新建的站点点击新建站点的根目录,将要用到的sqli-lab的压缩包上传并进行解压。sqli-lab压缩包请在浏览器中自行搜索下载(需要的话后面有时间我上传一下)3.给站点绑定centos虚拟机里的真实i
2020-09-09 10:07:44
630
1
原创 centos7配置网络并安装宝塔面板
写在前面:新手写博客,不足的地方还请您包容指正,谢谢。一.centos7修改配置网络1.登录root用户,输入命令登陆后在root的根目录下输入命令vi /etc/sysconfig/network-scripts/ifcfg-ens33(根据自身虚拟机进行修改,另输入时可用tab键补全)2.将ONBOOT的no改为yes修改方法是按i进入插入模式,将ONBOOT=NO改为ONBOOT=YES。(下图为修改后的)修改完之后按esc键推出插入模式,然后按住shift键加冒号进入命令模式,
2020-09-09 10:06:17
1310
原创 在csdn写博客
一.搭建博客1.什么是blog?blog是为用户提供的一个方便记录日常学习的笔记、想法等的一个平台分享思路 锻炼思维2.blog的写法标题在想要设置为标题的文字前面加#来表示一个#是一级标题,二个#是二级标题,以此类推。支持六级标题。例:效果:一级标题二级标题三级标题字体例:效果:这是加粗的文字这是倾斜的文字`这是斜体加粗的文字这是加删除线的文字图片例:效果:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y0
2020-09-07 19:32:45
230
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人