- 博客(25)
- 收藏
- 关注
RSS订阅原创 小白日记36:kali渗透测试之Web渗透-手动漏洞挖掘(二)-突破身份认证,操作系统任意命令执行漏洞
手动漏洞挖掘身份认证1、常用弱口令/基于字典的密码爆破2、锁定机制手工猜测,若无锁定机制,则进行爆破3、信息收集【分站上信息收集,猜测账号密码,如:用户光荣榜等。】手机号:对于隐藏部分的手机号,猜测其确切账号(手动输入,已知手机号,观察密码错误提示信息【如:用户名有误】,则爆破用户名)密码错误提示信息(burp
2016-10-22 10:13:15
3821
原创 小白日记35:kali渗透测试之Web渗透-手动漏洞挖掘(一)-默认安装引发的漏洞
手动漏洞挖掘即扫描后,如何对发现的漏洞告警进行验证。#默认安装流传linux操作系统比windows系统安全的说法,是因为windows系统默认安装后,会开放很多服务和无用的端口,而且未经过严格安全性的配置,经常有系统服务以最高权限运行。漏洞类型--远程命令执行1、phpMyadmin安装在web服务器中的web接口,专门用来管理MySQL数
2016-10-21 18:55:42
5502
原创 PHP.10-PHP实例(一)-简单的计算器
PHPPHP在web开发中的应用PHP编写步骤1、编写一个后缀名为.php文件2、上传到Web服务器的文档根目录下3、通过浏览器访问Web服务器管理下的PHP文件,就可以运行PHP文件4、在PHP文件中可以编写HTML、CSS、JavaScript等语言,但使用起始标记之前的代码用PHP应用服务器解析,将解析后的代码发到客户浏览器,在这个标记这外的都直接
2016-10-21 02:19:15
1150
原创 windows系统-web渗透工具-AWVS
windows系统-web渗透工具-AWVSACUNETIX WEB VULNERABILITY SCANNER(AWVS)Awvs是一款很出名的web安全扫描器,属于windows系统平台下最流行的扫描器之一,是商业版本【有破解版】,相对开源软件,较为细化。支持AJAX、JavaScript,对客户端的脚本代码支持,会更好,能更容易发现隐藏更深的URL地址等。
2016-10-19 03:14:36
6881
原创 PHP.9-HTML+CSS(三)-CSS样式
CSS样式CSS是Cascading Style Sheets的简写,它除了可以轻松设置网页元素的显示位置和格式处,甚至还能产生滤镜,图像淡化,网页淡入淡出的渐变效果。CSS就是要对网页的显示效果实现与Word一样的排版控制一个段落、字体、颜色、背景、边框等。注:注释/* */里面不能再包含注释1、CSS的四种设置方式内联样式表:在HTML元素标签中使用sty
2016-10-18 15:48:29
1321
原创 小白日记34:kali渗透测试之Web渗透-扫描工具-Burpsuite(二)
扫描工具-Burpsuite公共模块0、Spider 爬网手动爬网先禁用截断功能手动将页面中点击所有连接,对提交数据的地方,都进行提交【无论内容】自动爬网【参数设置】指定爬网路径,否则其他子目录也会被爬到【右键,Add Scope】#爬网参数设置###爬到页面中仍需要身份认证的页面,需重复输入,也可以忽
2016-10-17 22:17:00
3323
原创 PHP.8-HTML+CSS(二)-HTML详解
HTML+CSSHTML参考手册【http://www.w3school.com.cn/tags/index.asp】0、HTML主体标记代码分为三部分编写 是网页文件的最外层标记 之间的文本是头信息 不会显示在浏览器中,包括基本的描述,整个网页的公共属性 是网页文件的
2016-10-17 15:38:58
617
原创 PHP.7-HTML+CSS(一)-HTML语法、常用字符实体、颜色代码
HTML+CSSHTML是WEB页面的描述性语言,浏览器解释的语言CSS则是为HTML制定样式的机制,为浏览器解释的语言。它不能独立使用,没有HTML就没有CSS,定义网页的外观和布局(字体、背景、文本、位置、边缘、列表及其它)JavaScript是具有交互性Web设计最佳选择都可以独立编写CSS和JavaScript还有
2016-10-16 23:17:11
3895
原创 小白日记33:kali渗透测试之Web渗透-扫描工具-Burpsuite(一)
扫描工具-BurpsuiteBurp Suite是Web应用程序测试的最佳工具之一,成为web安全工具中的瑞士军刀。其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。【属于重量级工具,每个安全从业人员必须会的】但不是开源软件,有其免费版版,但在free版没有主动扫描功能,可用于手动挖掘。【有其破解版,适合个人使用】所
2016-10-16 19:50:08
4459
原创 小白日记32:kali渗透测试之Web渗透-扫描工具-QWASP_ZAP
扫描工具-QWASP_ZAP十大安全工具之一,集成性工具,功能完善,而且强大。既可做主动扫描,也可做截断代理。开源免费跨平台,简单易用,体验相对混乱,但在主动扫描方面,相对占优。【kali集成】####建议选择第二项####注意检查更新更新与插件安装安装插件release和beta【release:成熟版 beta:测试版
2016-10-16 10:08:37
2090
原创 PHP.6-PHP环境搭建(Windows环境下)-LAMP
PHP环境搭建(Windows环境下)-LAMPWindows系统上分别独立安装Apache2、PHP5、MySQL5和phpMyAdmin等几个软件。独立安装的好处是可以自由选择这些组件的具体版本,清晰地掌握自己计算机里都安装了哪些程序,以及它们的具体配置情况,这将对以后的系统维护和软件升级工作带来很大的帮助。获取软件【可自行下载最新版进行安装】
2016-10-15 19:26:24
803
原创 小白日记31:kali渗透测试之Web渗透-扫描工具-Arachni
扫描工具-ArachniKali中集成旧的arachni的阉割版,所以需要重新安装【在某些方面有其独特性,但不算很强大,有命令行和web两种使用方式】【匿名者推荐】apt-get updatehttp://www.arachni-scanner.com/download/#Linuxtar xvf arachni.tar.gz./arachni_console
2016-10-15 00:33:52
6166
原创 PHP.5-DIV+CSS布局网站首页实例
DIV+CSS布局网站首页实例网站页面布局http://www.sj33.cn/digital/wyll/201501/42379.html【页头、页脚、侧边栏和内容区域】#避免各浏览器对CSS的解析差异,需对其进行测试实例实现#命名需遵循命名规范0、定义文件在css文件中定义实现各功能的不同的样式【分辨率设置:102
2016-10-13 01:28:48
2708
2
原创 小白日记30:kali渗透测试之Web渗透-扫描工具-Skipfish
WEB渗透-skipfishSkipfish是一个命令行模式,以C语言编写的积极的Web应用程序的安全性侦察工具,没有代理模式。 它准备了一个互动为目标的网站的站点地图进行一个递归爬网和基于字典的探头。优点:速度比较快【多路单线程,全异步网络I/O,消除内存管理和调度开销,支持启发式自动内容识别】,误报相对低使用方式:【https://my.oschina.net/u/
2016-10-11 02:13:57
10827
原创 小白日记29:kali渗透测试之Web渗透-扫描工具-Vega
WEB扫描工具-Vega 纯图形化界面,Java编写的开源web扫描器。两种工作模式:扫描模式和代理模式【主流扫描功能】。用于爬站。处理表单,注入测试等。支持SSL:http://vega/ca.crt专注于应用程序代码方面的漏洞Vega#基于字典发现网站目录代理模式#设置外部代理服务器#删除user-
2016-10-11 01:02:53
8450
原创 PHP.4-DIV+CSS标准网页布局准备工作(下)
DIV+CSS标准网页布局准备工作区块属性(区块模型)属 性描 述Margin(注)是定义区块外边界与上级元素距离的属性,用1到4个值来设置元素的边界,每个值都是长度、百分比或者auto,百分比值参考上级元素的宽度,允许使用负值边际。如果四个值都给出了,它们分别被应用于上、右、下和左边界。如果只给出一个值,它被应用于所
2016-10-10 00:39:49
813
原创 小白日记28:kali渗透测试之Web渗透-扫描工具-Nikto
#WEB渗透靶机:metasploitable靶场:DVWA【默认账号/密码:admin/password】#新手先将DVWA的安全性,调到最低,可容易发现漏洞侦察【减少与目标系统交互】Httrack:将WEB可下载的页面下载到本机,再进行本地检查【kali下安装】##可到此网站获取代理:hidemyass.com【免费代理需小心】
2016-10-09 16:50:48
11598
原创 PHP.3-DIV+CSS标准网页布局准备工作(上)
DIV+CSS标准网页布局准备工作(上)概述使用“DIV+CSS”对网站进行布局符合W3C标准,采用这种方式布局通常是为了说明与HTML表格定位方式的区别。因为现在的网站设计标准中,已经不再使用表格定位技术,而是采用DIV+CSS的方式实现各种定位。通过使用div盒子模型结构将各部分内容划分到不同的区块,然后用css来定义盒子模型的位置、大小、边框、内外边距、排列方式等。简单地
2016-10-09 01:33:53
893
原创 小白日记26:kali渗透测试之提权(六)--收集敏感信息,隐藏痕迹
提权后操作提权之后,要收集目标系统的重要信息LINUX/etc/resolv.conf #查看DNS配置,是否可以进行DNS篡改或劫持/etc/passwd #存放账号/etc/shadow #存放密码whoami/who -a #查看当前用户/查看所有用户ifconfig -a
2016-10-09 00:14:42
3617
原创 小白日记24:kali渗透测试之提权(四)--利用漏洞提权
利用漏洞提权实例前提:已渗透进一个XP或2003系统一、实验目标漏洞:Ms11-080补丁:Kb2592799漏洞信息:https://technet.microsoft.com/library/security/ms11-0801、通过searchsploit命令查找漏洞 【注:查找漏洞的命令行窗口要能完全显示Tit
2016-10-09 00:13:53
5716
原创 小白日记27:kali渗透测试之Web渗透-Http协议基础,WEB
Http协议基础Web技术发展【http://www.cnblogs.com/ProgrammerGE/articles/1824657.html】静态WEB【网页】动态WEB属于一种应用程序基于数据库每个人看到的内容不同根据用户输入,返回不同结果WEB攻击类型有数百种WEB攻击面1、Network2、
2016-10-09 00:10:20
2878
原创 PHP.2-LAMP平台介绍及网站的工作原理
LAMP平台介绍及网站的工作原理1、HTTP协议URL(UniformResourceLocator)统一资源定位符,就是网页地址的意思。【格式:协议://主机.端口.文件.附加资源】##URL组成:http://blog.csdn.net/ergouge/article/details/8185219超文本传输协议(HTTP,HyperText Transfer Pr
2016-10-08 15:27:33
906
原创 PHP.1-网站开发概述
网站开发概述网站开发从本质来说,就是软件开发1、B/S软件体系统结构BS:浏览器与服务器的结构【降低客户端电脑的负荷,减轻维护成本,对CS的改进,可随时随地进行业务处理】#对美工要求比较高,注重业务处理CS:客户端与服务器的结构【需要下载并安装才能使用】2、动态网站介绍区别动态网站与静态网站:是否采取了数据库的开发模式。静态网页中,用户只是网站的浏览者,
2016-10-08 01:34:54
759
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人