- 博客(17)
- 资源 (14)
- 收藏
- 关注
原创 kali 2020 VMware 15.5.1 启动时出错 before you can run vmware, several modules must be complied and……
kali 2020 VMware 15.5.1 启动时出错 before you can run vmware, several modules must be complied and……一、老的解决办法卸载老版本安装新版本(可惜无用)root@knight:~/下载# vmware-installer -u vmware-workstationAll configuration info...
2020-01-16 10:29:18 2223 1
原创 安全技能-CSRF漏洞
介绍CSRFCSRF(跨站请求伪造),也被称为One Click Attack 或者 SessionRiding,通常缩写为CSRF或XSRF,是一种对网站的而恶意利用CSRF通过通过伪装成受信任用户请求受信任网站,与XSS相比,CSRF攻击往往不太流行,但难以防范,所以被认为比XSS更具攻击性原理攻击者利用目标用户身份,以目标用户的名义执行某种非法操作,CSRF能做的事情包括:以目标用...
2019-10-14 16:18:15 219
原创 安全技能-XSS
XSS介绍跨站脚本攻击(简称XSS),是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种,他允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响XSS攻击可以分为三种反射型XSS存储型XSSDOM型XSS原理反射型XSS反射型XSS又称非持久型XSS,这种攻击方式具有一次性攻击方式:攻击者通过电子邮件等方式将包含XSS代码的恶意链接...
2019-10-14 15:51:21 262
原创 安全技能-SQL注入绕过技术
大小写绕过注入URL地址:http://127.0.0.1/sql/1.php?id=1访问id=1’ 页面报错,访问id=1 and 1=1 页面返回’nohack’,发现被拦截,说明有关键词过滤,可以尝试使用大小写绕过(如And 1=1,aNd1=1,AND 1=1 等)观察页面返回信息,判断是否存在sql注入然后使用order by 查询字段长度最后使用union...
2019-10-14 15:49:02 164
原创 安全技能-常见sql注入
时间盲注URL地址:http://127.0.0.1/sql/lime.php?id=1情况与Boolean注入相似的另外一种注入方式时间盲注多与if(expr1,expr2,expr3)结合使用if含义是:如果expr1位TRUE,则返回expr2,否则返回expr3判断数据库名长度if(length(database())>1,sleep(5),1)...
2019-10-14 15:38:00 155
原创 安全技能-SQL注入基础
产生原因Web应用程序没有对用户数据的合法性进行判断,前端传入后端的参数是攻击者可控的,并且参数代入数据库查询,攻击者可以通过构造不同SQL语句来实现对数据库任意操作SQL注入原理SQL注入产生,需要满足一下两个条件参数用户可控:前端传给后端的参数内容是用户可控制的参数代入数据库查询:传入的参数拼接到SQL语句,且代入数据库查询相关知识点在MySQL5.0版本之后,...
2019-10-14 15:30:29 109
原创 网络安全工具-Nmap
扫描参数设置扫描目标相关-iL从文件中导入目标主机或目标网段-iR随机选择目标主机–exclude后面跟的主机或网段不在扫描范围内–excluedefile后面文件中的主机或网段不在扫描范围内主机发现相关参数-sL列表扫描,仅列举指定目标的IP,不进行主机发现-sn只进行主机发现,不进行端口扫描-Pn将所有指定的主机视...
2019-10-14 15:04:17 267
原创 网络安全工具-BurpSuite
安装&简介BurpSuite是一款集成自动化渗透测试工具,可以协助我们进行Web应用程序的攻击.BurpSuite是由Java编写,运行时依赖Java环境BurpSuite主要拦截HTTP,HTTPS协议的流量,通过拦截,以中间人的方式对客户端的请求,服务端的返回信息,做各种处理,以达到安全测试目的使用BurpSuite拦截请求时,需要设置浏览器代理(127.0.0.1:8080)...
2019-10-14 15:01:37 880
原创 国内waf指纹识别及检测总结
waf识别:waf在请求中设置自己的cookieWaf在恶意请求时回复响应代码Waf在响应页面内容中可以查看Waf手动检测:360防火墙:响应头包含X-Powered-By-360WZB异常请求时返回493状态码页面源码页面源码可以找到对 wzws-waf-cgi 引用云锁:响应头包含yunsuo_session 字段阻止响应页面云盾:响应头包含yundu...
2019-10-14 13:02:21 1835
原创 sqlmap tamper脚本备忘录与tamper脚本编写
查看sqlmap全部脚本$ python sqlmap.py --list-tampers[*] starting @ 12:30:47 /2019-10-14/[12:30:47] [INFO] listing available tamper scripts* apostrophemask.py - Replaces apostrophe character (') with i...
2019-10-14 12:35:49 209
原创 网络安全工具-SQLMap
**SQLMap简介SQLMap是一个自动化SQL注入工具,主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库有MySql,Oracle,PostgreSQL,MicrosoftSQL Server,Microsoft Access,IBM DB2,SQLList,Firebird,Sybase,SAPMaxDB,SQLMap的强大功能包括数据库指纹...
2019-10-14 12:17:59 188
原创 渗透测试之信息收集
信息收集是渗透测试中,最关键也是最基础的技术能力信息收集我一般这么做首先是简单快速的初次收集,然后放大信息收集范围再进行二次收集, 综合分析收集到的信息后,对所发现的可利用信息,继续小范围信息收集。针对web站点进行信息收集,需要先扩大范围,收集更多和该网站相关的信息,方便找到更容易渗透的点,确定缩小范围,对容易渗透的点进行更加全面、完善的信息收集,对目标进行渗透测试.Web站,首先要了解网...
2019-10-14 11:53:11 410
原创 kali使用wine安装微信
1、开启kali的i386支持> dpkg --add-architecture i386 > 更新一下 apt data && apt upgrade2、安装wine并设置默认wine32因为kali默认安装wine64 ,so 使用apt install wine32安装wine32并在~/.bashrc最后添加以下环境变量,默认使用wine32...
2019-07-16 22:57:27 3492 3
原创 kali、debian、Ubuntu中安装微信、qq、百度网盘
1、感谢elementaryos中文版的团队2、感谢deepin深度linux团队安装方法1、导入keysudo wget -O - http://package.elementaryos.cn/apt/key/package.gpg.key | sudo apt-key add -2、添加deb源添加文件 vim /etc/apt/deepin.list 内容deb http:/...
2019-06-20 15:37:04 3784
转载 HTTP协议
1.http协议解析 HTTP:超文本传输协议,是一种规范了浏览器与服务器之间互相通信的规则。1.1发起http请求 浏览器地址栏输入一个URL就发起了http请求。URL(统一资源定位符)即网页地址。URL的标准如下:协议://服务器IP[:端口]/路径/[?查询]在某些方面而言,浏览器在http协议方面只不过多了HTML渲染的功能,让用户看到更直观的界面。1.2HT...
2019-02-13 09:28:20 246
翻译 在Kali Linux上以root身份运行PlayOnLinux
PlayOnLinux是一个基于Wine的Linux应用程序,它允许您在Linux上安装Microsoft Windows程序。它运行在Bash和Python上,可以免费下载和安装。PlayOnLinux的初始安装很简单,因为它可以在存储库中找到,但是如果你想以root用户身份运行它,你必须做一些调整,例如在Kali Linux上。安装PlayOnLinux要在像Kali这样的基于Ubuntu...
2019-01-30 14:41:23 2596
转载 Systemback 1.9.3 支持 Debian 9 Ubuntu 17.10 18.04
Systemback 是一款用于创建定点系统备份,使用户能够完全恢复操作系统的应用程序。提供了任何先进备份软件的功能,包括:系统备份、系统恢复、系统复制、系统安装、Live 系统创建、系统修复和系统升级。systemback_live_bios从 Systemback 1.0版开始,Systemback 已经被移植到 QT5。可用的最新版本是 Systemback 1.6.201,发布已经有一...
2018-12-12 10:42:36 917
Bypassing-Web-Application-Firewall-Workshop-eBook.en.zh-CN.pdf
2021-05-24
15-信息安全技术 信息安全事件管理指南.pdf
2020-02-14
identywaf.zip
2019-10-14
youdao-dict_1.1.1-0~ubuntu_amd64.deb
2019-06-09
systemback1.9.3 支持Ubuntu 17.10 18.04
2018-12-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人