网络安全学习小结--kali基本工具、webshell、代码审计

已于 2022-09-05 15:12:58 修改
阅读量2.5k 收藏 8
点赞数 4
文章标签: web安全 学习
于 2022-08-09 20:27:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tauil/article/details/126252439
版权

0x00 kali基础工具使用

sqlmap

sql注入

#基本命令get型
sqlmap -u "URL" --dbs
sqlmap -u "URL" -D 数据库名称 --tables
sqlmap -u "URL" -D 数据库名称 -T 数据库表 --column
sqlmap -u "URL" -D 数据库名称 -T 数据表 -C  --dump

#基本命令post型
sqlmap -r "数据包" --dbs
sqlmap -r "数据包" -D 数据库名称 --tables
sqlmap -r "数据包" -D 数据库名称 -T 数据库表 --column
sqlmap -r "数据包" -D 数据库名称 -T 数据表 -C  --dump

#部分附加命令
--thread          -----线程设置,通常赋10
--delay           -----请求延时,防止被拉黑
--os-shell        -----获取主机shell
--null-connection -----检索没有body响应的内容,多用于盲注
--tamper          -----脚本调用

searchsploit

漏洞脚本库,提权,shell获取等等

Usage: searchsploit [options] term1 [term2] ... [termN]
 
==========
 Examples
==========
  searchsploit afd windows local
  searchsploit -t oracle windows
  searchsploit -p 39446
  searchsploit linux kernel 3.2 --exclude="(PoC)|/dos/"
 
  For more examples, see the manual: https:
最低0.47元/天 解锁文章
Tauil
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kali自带的webshell客户端
Yale的博客
12-26 3250
0x01 第一个要介绍的是webacoo。 webacoo旨在通过HTTP在客户端和web服务器之间提供类似隐形终端连接。它是一个后渗透利用工具,能够维持对已被拿下的web服务器的权限访问。WeBaCoo可以绕过最新的AV,NIDS,IPS,网络防火墙和应用防火墙的检测,能够在被拿下的服务器中悄无声息的执行系统命令。 首先使用-h看看用法 简单的翻译如下: -g Generate bac...
Kali工具-webshell之weevely
liwangjin0116的专栏
03-29 707
kali中常用的webshell工具-weevely,可以对网站的文件上传漏洞进行测试。
2024年前端最新常用的WebShell管理工具(1),2024年最新网易严选面试经验
最新发布
2401_84619530的博客
05-14 340
我在成长过程中也是一路摸爬滚打,没有任何人的指点,所以走的很艰难。例如在大三的时候,如果有个学长可以阶段性的指点一二,如果有已经工作的师兄可以告诉我工作上需要什么,我应该前面的三年可以缩短一半;后来去面试bat,失败了有5、6次,每次也不知道具体是什么原因,都是靠面试回忆去猜测可能是哪方面的问题,回来学习和完善,当你真正去招人的时候,你就会知道面试记录是多么重要,面试官可以从面试记录里看到你的成长,总是去面试,总是没有成长,就会被定义为缺乏潜力。
kali下的webshell工具-Weevely
@小张小张的博客
09-29 3620
kali下的webshell工具-Weevely weevely是适用于php网站的webshell工具,使用weevely生成的木马免杀能力较强,而且使用加密连接,往往能轻松突破WAF拦截。 Weevely工具使用Python语言编写,集生成木马与连接于一身,相当于Linux中的中国菜刀,但只适用于php网站,支持图片与.htaccess两种绕过方式。生成的木马文件进行了base64加密处理。它实现了SSH 风格的终端界面,并有大量自动化的模块。测试人员可用它执行系统指令、远程管理和渗透后期的自动渗透;
Kalikali主要工具使用说明(文末附超全思维导图)
热门推荐
PP_zi的博客
05-11 3万+
本文为《从实践中学习Kali Linux渗透测试》总结笔记,仅供学习使用,禁止用于非法用途,转载请附上原文链接! 1. 信息收集 1.1 发现主机 traceroute 获取目标主机的路由条目,确定网络拓扑。每一跳表示一个网关,星号可能为防火墙导致。 1.1.1 扫描主机 ① nmap nmap -sP ip/ip段 对目标主机实施ping扫描,探测主机是否在线 也可以通过其他语法,扫描主机开放端口、使用的操作系统等 ② Netdiscover ARP侦查工具,可以扫描IP地址,检查在线主机。 .
kali自带密码本存放的位置
记录并分享学习安全的知识点..
02-17 3149
/usr/ share/wordlists rockyou.txt Rockyou.com在 2010 年被攻破,泄露了多于 14 亿的密码,这个列表包含它们。 dnsmap.txt 包含常用的子域名称,例如内部网络、FTP或者WWW。在我们爆破 DNS服务器时非常实用。 dirbuster dirbuster目录包含Web 服务器中常见的文件名称,这些文件可以在 使用DirBuster或 OWASP ZAP 强制浏览时使用。 wfu...
网络安全——Webshell管理工具
weixin_54055099的博客
08-21 4420
Webshell的应用,中国菜刀、蚁剑、weevely、御剑、Havij的使用
minidwep-gtk-kali_40420_amd64.deb
05-22
工具(水滴minidwep-gtk)仅仅只用于个人无线网络渗透测试,严禁其他任何用途!!
46-46.渗透测试-Kali Linux安全渗透.mp4
05-10
46-46.渗透测试-Kali Linux安全渗透.mp4
网络安全-kali-linux 通过macof攻击+python脚本攻击交换机
03-18
本文主要探讨了一种利用Kali Linux操作系统结合macof工具和Python脚本来攻击交换机的网络攻击方式,并提供了相应的防范措施。 交换机作为网络基础设施的核心组件,其工作原理基于MAC地址表。交换机会在接收到数据帧...
Kali安全渗透高级工程师-2019年-学习必备软件包汇总
11-10
Kali Linux预装了许多渗透测试软件,包括nmap 、Wireshark 、John the Ripper,以及Aircrack-ng.[2] 用户可通过硬盘、live CD或live USB运行Kali Linux。Kali Linux既有32位和64位的镜像。可用于x86 指令集。同时...
penetration-testing-with-kali.pdf
08-10
Offensive SecurityPWK(Penetration Testing with Kali Linux)是 Offensive Security 公司提供的一门关于渗透测试的课程,旨在帮助安全专业人员学习渗透测试的技术和方法。该课程涵盖了渗透测试的所有方面,从...
网安入门必备的12个kali Linux工具
小王的储物间
06-08 3082
是一个与802.11标准的无线网络分析有关的安全软件,主要功能有:网络侦测,数据包嗅探,WEP和WPA/WPA2-PSK破解。是一个开源的渗透测试工具,可以用来进行自动化检测,能自动化利用 SQL 注入漏洞的过程,帮助你接管数据库服务器。它可以用于测试应用程序的会话令牌或其他重要的数据项,如反 CSRF。最为知名的子项目是开源的Metasploit框架,一套针对远程主机进行开发和执行“exploit代码”的工具。(扫描器)— 一个 Web 应用程序安全扫描器,用于执行 Web 应用程序的自动漏洞扫描。
Kali Linux自带webshell的使用
汗的博客
03-31 6656
大家都比较喜欢用菜刀、蚁剑、冰蝎这类图形化webshell管理工具,但是webshell的知识还是要有的,比如反弹常用的webshell。我简单介绍一下kali自带的反向webshell Kali自带webshell目录: /usr/share/webshells/ 可以看到有asp、aspx、jsp、perl、php等类型webshell 主要谈谈反弹的phpwebshellphp-rever...
Kali自带密码字典rockyou.txt解压
weixin_44802617的博客
09-13 1万+
近期使用了airmon-ng进行wifi密码破解,虽然抓到了包,但是由于kali自带wifite.txt太弱,未能匹配出密码,因此我使用了rockyou.txt。起初rockyou.txt是未解压的状态,名称为rockyou.txt.gz,位于/usr/share/wordlists文件夹中。此处只说明其解压方法,有效性另说。一般来说破译需要针对性的字典,而不是数据量庞大的字典,毕竟计算机计算能力是有限的。另外,如果想建立自己专属的密码字典,可以尝试使用crunch工具
kali使用aircrack无线攻击wifi超详细步骤(包含监听网卡启动,获得握手包,密码本生成)
m0_50818626的博客
04-17 1万+
平台及工具: linux:kali平台 aircrack - ng 工具 免驱监听网卡 详细操作 1.首先启动kali,插入网卡,输入ifconfig查看kali是否检测到监听网卡,注意监听网卡要免驱动的。 ifconfig //查看自身网卡信息 如图,看到wlan0就代表kali成功检测到监听网卡啦。 2.在启动网卡的监听模式之前一定要杀死进程,否则将会监听不到附近的WiFi,执行下面命令杀死进程。 airmon-ng check kill //杀死有关进程 3
kali渗透学习-Web渗透XSS(一)
weixin_43239236的博客
01-23 575
XSS xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户浏览器的控制。漏洞存在于服务器端,攻击对象为WEB客户端。【原理:为了使用户体验更好等因素,有部分代码会在浏览器中执行】 【JavaScript详解】:与java语言无关;命名完全出于市场原因,是使用最广的客户端脚本语言 使用场景:针对以下几个点位注入 直接嵌入html:<scr
渗透利器 | 常见的WebShell管理工具
03-02 2万+
攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,然后再执行系统命令、权限提升、读取配置文件、窃取用户数据,篡改网站页面等操作。本文介绍十款常用的We...
webshell与反弹shell使用详解
有勇气的牛排博客
07-24 1563
1 介绍 在对linux服务器渗透测试的过程中,我们在getshell得到一个低权限的webshell,由于webshell是非交互式shell,通常要反弹一个交互式的shell,然后提权(不然提权后,还是原来的权限) 2 webshell 获取 2.1 php策略 PHP环境下反弹shell,过去我们通常用phpspy等shell自带反弹即可,这里将其反弹部分代码提取出来,访问即可反弹到指定IP端口一个普通交互shell。 (1)下面利用weevely生成一个php weevely generate 12
精通Kali Linux 高级渗透测试2023版本,英文原版
07-12
The COVID-19 pandemic has changed the way the world operates. Organizations of all sizes have transformed themselves from having none or partial remote working to all of their employees adopting this style. With the new normal, accessible and remote technology has become very important for work and in peoples’ personal lives. We can certainly call this a virtual world, where confidential activities that used to happen in closed rooms now happen over the internet. This has significantly increased

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值