- 博客(4)
- 收藏
- 关注
RSS订阅原创 SQL注入漏洞小结
SQL注入是一种常见的网络安全漏洞和攻击方式,它利用应用程序对用户输入数据的处理不当,使得攻击者能够在执行SQL查询时插入恶意的SQL代码。通过成功注入恶意代码,攻击者可以执行未经授权的数据库操作,获取敏感信息、篡改数据甚至完全破坏数据库。SQL注⼊说⽩了就是:有⼈在你⽹站的输⼊框(⽐如登录框、搜索框)⾥,不是输正常内容,⽽是偷偷塞⼀段SQL数据库命令,想骗数据库执⾏,达到偷数据、删数据甚⾄改⽹站的⽬的。
2026-04-11 13:12:39
588
原创 MSF工具使用与实战
全称Metasploit Framework,是漏洞研究、渗透测试、漏洞验证的一体化平台,主要有以下五大核心模块:Auxiliary(辅助模块):漏洞扫描、信息收集、端口扫描、服务探测(无攻击载荷)Exploits(漏洞利用模块):针对已知漏洞的攻击代码(核心)Payloads(攻击载荷):漏洞利用成功后执行的代码(如 Meterpreter)Encoders(编码器):对载荷编码,绕过杀软Post(后渗透模块):权限维持、信息窃取、内网渗透核心组件:msfconsole:MSF 主命令行控制台
2026-04-02 22:35:27
534
原创 RCE漏洞小结
所谓RCE漏洞,即Remote Code/Command Execution,远程代码执行和远程命令执行漏洞。在很多Web应⽤中,开发⼈员会使⽤⼀些函数,这些函数以⼀些字符串作为输⼊,功能是将输⼊的字符串当作代码或者命令来进⾏执⾏。当⽤户可以控制这些函数的输⼊时,就产⽣了RCE漏洞。一旦有RCE漏洞被攻击者利用,就相当于攻击者有了在被攻击者服务器上执行任意命令的权限。
2026-03-29 12:46:40
222
原创 SRC漏洞信息收集流程个人小结
这些信息可能包括系统的IP地址、开放的端口、运行的服务、使用的操作系统、存在的漏洞等。使用谷歌、百度等搜索引擎搜索,可能会收集到相关网站的一些后台系统,因为前台的网站防御一般都相对完善,后台才是主要的渗透目标,当然要挑软柿子捏了。获得一个公司名后,查找其名下的主域名、网站,再进一步收集相关的子域名,最后再梳理对应的web资产。记录所有相关信息,如(电话,邮箱,⽹址等·)登录账号的时候可以去弱口令等测试,说不定就登录进去了。通过域名,查询域名的注册信息,包括注册者、联系邮箱、联系电话等信息。
2026-03-25 16:48:23
863
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人