3 Louisnie

尚未进行身份认证

我要认证

疲惫生活中的英雄梦想

等级
TA的排名 6w+

检查网站是否可以正常访问

curl -I -m 10 -o /dev/null -s -w %{http_code} www.baidu.com一般正常是返回200

2019-05-30 12:13:42

渗透测试面试笔试题

1.拿到一个待检测的站,你觉得应该先做什么?收集信息whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息另说…2.mysql的网站注入,5.0以上和5.0以下有什么区别?5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。5.0以下是多用户单操作,5.0以上是多用户多操做。3.在渗透...

2019-02-28 20:06:06

文件上传漏洞总结

https://paper.seebug.org/560/

2019-02-15 15:37:39

使用七牛作为图床教程

使用七牛作为图床

2018-10-30 17:43:27

IIS6.0容器之解析漏洞复现

漏洞简介解析漏洞是指web服务器因对HTTP请求处理不当导致将非可执行的脚本,文件等当作可执行的脚本去执行.该漏洞一般配合web容器(iis,nginx,apache,tomcat等)的文件上传功能去使用,以获取服务器的权限.IIS5.X/6.X解析漏洞对于IIS服务器5版本和6版本存在两个解析漏洞,分别为目录解析和文件解析目录解析简介:在网站下建立文件夹的名称中以.asp或.asa等作...

2018-10-30 00:11:57

Hexo NexT主题添加点击爱心效果

给NexT主题内添加页面点击出现爱心的效果创建js文件在/themes/next/source/js/src下新建文件clicklove.js,接着把该代码拷贝粘贴到clicklove.js文件中。代码如下:!function(e,t,a){function n(){c(".heart{width: 10px;height: 10px;position: fixed;backgro...

2018-10-21 22:30:51

谈谈Metasploit中payload模块

我们可以不利用漏洞,直接将payload发送给目标主机,诱使其点击,也可获取到目标主机的shell.msf > use payload/windows/shell_bind_tcp #使用该模块绑定(监听)本机的一个TCP连接端口msf payload(windows/shell_bind_tcp) > generate #通过generate生成16进值的payload,默...

2018-10-20 01:24:10

墨者学院--手工注入mysql数据库实例

开启墨者靶场环境,发现此界面,在点击登陆下方的通知之后惊奇的看到存在参数id,可以试试通过传递SQL语句获取数据库信息.我们可以试试1=1和1=2大法,输入在参数id=1后面加入1=1进行逻辑判断显示正常,然后换1=2,因为1=2为一个假命题,如果能插入到数据库进行逻辑判断,那么由于该语句错误,数据库查询不到任何信息,界面就不会显示任何信息根据这种情况可以大概的判断出该网站很大可能存...

2018-10-16 19:40:54

Metasploit初探索

渗透测试者的困扰:需要掌握数百个工具软件,上千条命令参数,很难去全部记住.对于新出现的漏洞PoC/EXP有不同的运行环境要求,准备工 作繁琐.渗透工作者大部分时间都在学习不同工具的使用习惯,如果可以统一那么就方便的多.Metasploit简介:目前最流行,最强大,最具有扩展性的渗透测试平台软件基于Metasploit进行渗透测试和漏洞分析的流程和方法2003年由HD More发布第...

2018-10-12 16:58:57

SQL手工注入探索旅程(三)

SQL手工注入探索旅程(一)SQL手工注入探索旅程(一)当无权读取information_schema库或者被拒绝union,order by这些语句通过试验去猜测数据库信息进而总结归纳出结果设置dvwa安全等级为low| 我们在输入框中输入 一下指令:' union select null,user()-- #使用MySQL数据库的user()函数查看当前使用者 得知是r...

2018-10-09 16:15:14

SQL手工注入探索旅程(二)

SQL手工注入探索旅程(一)实验环境:kali:192.168.128.128/24metasploitable:192.168.128.129/24首先我们将metasploitable中的dvwa安全等级设置为low

2018-10-02 02:14:52

SQL手工注入探索旅程(一)

SQL注入漏洞原理由于程序没有过滤用户的输入,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始的SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句实验环境:kali:192.168.128.128/24metasploit:192.168.128.129/24我们首先看一段很简单的PHP代码查询数据...

2018-09-30 17:29:45

手动挖掘之默认安装漏洞

phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。其安装在Web服务器上的接口界面,主要用于使用php来管理安装服务器上的后台数据库(MySQL数据库),但如果采用默认安装,敏感路径未做出处理,便会存在安全漏洞,最突出的是其setup脚本中存在着服务器端请求伪造漏洞。远...

2018-09-28 17:04:03

Burpsuite之Spider模块

Burp spider用来映射Web应用程序,他会自动抓取Web应用程序的链接,自动提交它发现的所有登陆表单,从而详细的分析整个应用程序,这些链接会传递给Burp Scanner进行详细的扫描.环境:kali:192.168.128.128/24metasploit:192.168.128.129/241,首先设置登陆的表单信息设置,由于在dvwa中默认用户名为admin,密码为passwr...

2018-09-24 23:22:31

零基础学习Burpsuite之目标(Target)工具

零基础学习Burpsuite(一)Burpsuite中的Target工具:我们在前一章使用Burpsuite作为代理可以得到目标访问web服务器的HTTP请求包既保存在Proxy工具中的HTTP history中,也保存在Target中在Target工具中,颜色是深色的URL表示已经真正发送过请求的地址,浅色的URL表示在请求的页面里所存在的其他URL地址,但没有访问过如果只想查看某个网站的...

2018-09-20 02:05:19

WebSocket简述

WebSocket是一种在单个TCP连接上进行全双工通信的协议。WebSocket通信协议于2011年被IETF定为标准RFC 6455,并由RFC7936补充规范。WebSocket API也被W3C定为标准。WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在WebSocket API中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持...

2018-09-18 21:47:10

零基础学习Burpsuite之代理功能

Burp Suite是一个用于测试Web应用程序安全性的图形工具。该工具使用Java编写,由PortSwigger Security开发。该工具有两个版本。可免费下载的免费版(免费版)和试用期后可购买的完整版(专业版)。免费版本功能显着降低。它的开发旨在为Web应用程序安全检查提供全面的解决方案。除了基本功能,如代理服务器,扫描仪和入侵者,该工具还包含更多高级选项,如蜘蛛,转发器,解码器,比较器...

2018-09-18 21:27:24

Windows下轻松搭建DVWA测试环境

DVWA是一款基于php&mysql编写的用于常规WEB漏洞教学和检测的web脆弱性测试web应用。其中包含了SQL注入,盲注,文件包含,XSS,CSRF等一些常见的WEB漏洞,对于我们进行Web渗透提供了很好的平台。开始搭建:1,首先去下载phpstudy和DVWA源码PHPstduy:http://www.phpstudy.net/phpstudy/phpStudy2016110...

2018-09-18 15:03:21

HTTP使用的BASIC认证原理

1,BASIC认证概述 在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对

2018-09-12 02:12:53

NTLM身份认证

NTLM身份认证是微软针对容易破解的Lan Manager Challenge/Response(LM)验证机制,提出的WindowsNT挑战相关验证机制,更新的有:NTLM v2和Kerberos验证体系.在服务器端如果不使用Message Queuing 或是Telnet Server,一般NTLM是被关闭的,一般用户也用不上,但对于入侵者来说,NTLM是一座大山,telnet是一种命令行方式...

2018-09-11 00:42:04

查看更多

勋章 我的勋章
  • 签到新秀
    签到新秀
    累计签到获取,不积跬步,无以至千里,继续坚持!
  • 阅读者勋章Lv1
    阅读者勋章Lv1
    授予在CSDN APP累计阅读博文达到3天的你,是你的坚持与努力,使你超越了昨天的自己。