网络攻防之——WEB漏洞扫描

最新推荐文章于 2024-05-14 19:31:46 发布
最新推荐文章于 2024-05-14 19:31:46 发布
阅读量6.7k 收藏 20
点赞数 4
分类专栏: 网络攻防 文章标签: 漏洞 网络 web 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/The__Apollo/article/details/66478496
版权

cadaver

这个工具是一个用来浏览和修改WebDAV共享的Unix命令行程序。这种工具就是以一种客户端,命令行的格式链接webdav

DAVtest

测试对支持WebDAV的服务器上传文件等

语法:davtest -url http://222.28.136.226/dav/

deblaze

针对FLASH远程调用等的枚举,一般在xss或者较深入的web安全中可能会用到

Fimap

文件包含漏洞利用工具

Grabber

Grabber是一个WEB应用漏洞扫描器,可以指定扫描漏洞类型结合爬虫对网站进行安全扫描

joomscan

类似于Wpscan的扫描器,针对特定CMS

SkipFish

skipfish是谷歌出品的一款自动化的网络安全扫描工具,与Nikto,Nessus等工具有相似的功能。它的语法如下:
这里写图片描述
执行完之后开始发包扫描
这里写图片描述
扫描结束之后,打开之前创建的report123目录,在目录下找到index.html文件,用浏览器打开,就可以看到这个页面
这里写图片描述

uniscan

这个工具可以勾选一些选项,然后加上url,然后直接开始扫描就行了

这里写图片描述

W3AF

w3af是一个web应用程序攻击和检查框架,包括检查网站爬虫,SQL注入,跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等。该项目的目标是要建立一个框架,以寻找和开发web应用安全漏洞,所以很容易使用和扩展
这里写图片描述

wapiti

wapiti的工作方式与nikto类似,也采用黑盒的方式主动对被测web应用进行扫描,寻找其中潜在的安全缺陷。

它扫描的方式就是,python wapiti.py http://www.xxxxxx.com -v 2

webshag

一个综合性的调用框架,可以调用Nmap,UScan,信息收集,爬虫等功能,是扫描过程更简单

websploit

主要用于远程扫描和分析系统漏洞,使用它可以非常容易和快速发现系统中存在的问题,并用于深入分析

the__apollo
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个简单的敏感目录扫描工具——Python脚本
06-03
利用HackRequests模块,配合敏感目录字典PHPdict.txt,实现一个简单的敏感目录扫描Python文件 02 注意事项 1、输入URL时要输全:如 https://www.baidu.com/、 https://www.csdn.net/ 2、为防止网站可能存在...
小型Web应用扫描工具Grabber
weixin_34320724的博客
07-17 360
2019独角兽企业重金招聘Python工程师标准>>> ...
Apollo存在弱口令漏洞
AomCC的博客
08-23 1567
记得那一次还是在某个项目之前,在网上漫游的时候发现了一个后台登录,本着不偷不摸的原则,光明正大的开始测试……
开源漏洞扫描工具:安全卫士的利器
最新发布
2401_84968529的博客
05-14 894
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
WebDAV服务漏洞利用工具DAVTest
weixin_33825683的博客
07-27 908
2019独角兽企业重金招聘Python工程师标准>>> ...
Kali从入门到出门-手记
阿木同学
11-05 4823
KALI手记 [L]为方法 [Q]是问题点 [A]为解决办法 [T]为工具 常用工具 [T] DNSenum DNS工具、DNS枚举 #dnsenum --enum baidu.com 附加选项: #--threads [num] 设置多线程 #-r 启用递归查询 #-d 设置WHOIS请求之间的延迟 #-w 启用WHOIS请求 #-o 输出到指定位置 [T]Nmap 看主机是否在线 #nmap -sP 192.168.1.1 扫描指定IP端口 #nmap 192.168.1.1 扫描指定IP 范围端口 #
WyreStorm Apollo VX20 信息泄露漏洞(CVE-2024-25735)
qq_67810151的博客
02-26 561
远程攻击者可以使用HTTP GET请求发现SoftAP(接入点)Router /device/config的明文凭据。
漏洞复现】WyreStorm Apollo VX20信息泄露CVE-2024-25735
失心少年
03-11 248
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!这款设备集成了摄像头、麦克风、扬声器及投屏功能,为企业办公和视频会议提供优质的视听体验。该系统存在信息泄露漏洞,未经授权的远程攻击者可以获取明文凭据。完整POC数据包如下。
攻防世界miss-01,杂项misc太湖杯
11-01
2. 工具使用:熟悉各种网络安全工具,如Nmap进行端口扫描,Wireshark进行网络流量分析,Burp Suite进行Web应用渗透测试等。 3. 编程能力:基本的编程知识,特别是Python,因为很多自动化任务或数据分析需要用到编程...
burpsuite系列使用教程
09-12
《Burp Suite系列使用教程——Web攻防实战指南》 在网络安全领域,Web攻防是一项至关重要的技能。Burp Suite是一款强大的网络安全工具,专为Web应用程序的安全测试而设计。本教程将深入探讨如何利用Burp Suite进行...
《安天365安全研究》第二期.pdf
08-07
1.1《黑客攻防实战——web 漏洞挖掘与利用》图书 1.2 安天实战课题研究 2017 年第二期内网渗透技术题目 1.3 关于安天 365 线下和线下交流 1.4 已出版图书 第 2 部分技术研究文章 2.1 最新勒索软件 WannaCrypt 病毒...
小龙web漏洞扫描工具
12-06
小龙web漏洞扫描工具,可批量扫描,绝对无毒,拒绝黑软
《安天365安全研究》-2017-04.pdf
08-07
1.1《黑客攻防实战——web 漏洞挖掘与利用》图书 1.2 安天实战课题研究 2017 年第二期内网渗透技术题目 1.3 关于安天 365 线下和线下交流 1.4 已出版图书 第 2 部分技术研究文章 2.1 利用 phpcms 后台漏洞渗透某色情...
Vulnhub靶机:HA_ NARAK
LainWith的博客
08-03 566
HA(此系列共17台)发布日期:2020年9月23日难度: 中目标: 取得 root 权限 + 2 Flag注释: 使用爆破,使用vmware虚拟机运行主机发现端口扫描信息收集密码字典定制爆破密码webdav漏洞PUT方法上传BF语言解码MOTD注入CVE-2021-3493提权。...
vulnhub-nark靶机渗透
晴的博客
03-19 4961
1.主机发现 2.端口扫描: 3.访问80端口: 4.dirb基于字典的目录扫描工具 发现了三个目录 5.发现webdav服务,需要cadaver工具连接,连接之后可以上传。用cadaver在网站webdav对应目录下建立连接,类似ftp,之后上传webshell,通过浏览器访问木马地址连接到本地 6.用cewl工具通过爬取网站信息的关键字来生成字典,通过生成的字典进行爆破 7.生成字典内容如下(部分内容) 8.用hydra爆破工具爆破 -L指定用户名 -P指.
linux cadaver 命令,screen命令用法与cadaver
weixin_30591519的博客
04-29 797
screen命令用法一、简介作为linux服务器管理员,经常要使用ssh登陆到远程linux机器上做一些耗时的操作。也许你遇到过使用telnet或SSH远程登录linux,运行一些程序。如果这些程序需要运行很长时间(几个小时),而程序运行过程中出现网络故障,或者客户机故障,这时候客户机与远程服务器的链接将终端,并且远程服务器没有正常结束的命令将被迫终止。又比如你SSH到主机上后,开始批量的scp命...
一些零碎知识,1
qq_43649282的博客
04-07 278
Handlebars.js 是一个 JavaScript 的页面模板库 WPScan是一款使用ruby编写、基于白盒测试的WordPress安全扫描器, Skipfish 是谷歌的一款安全扫描工具, OWASP Zed攻击代理(ZAP)是世界上最受欢迎的免费安全审计工具之一, Commix是一款功能强大的串口调试工具cadaver是WEBDAV的 客户端,WebDAV协议允许用户通过HTTP保存和共享文件,这是一个非常有价值的突破,因为HTTP通常是只读的,除了访问文档外,用户可以编辑和重新上传它 们,你.
linux cadaver 命令,【Linux学习第三篇】[Tab].[Ctrl]-c.[Ctrl]-d
weixin_29863809的博客
04-29 179
[root@localhost ~]# ls -al ~/.bash[Tab][Tab] //显示所有以.bash开头的文件名.bash_history .bash_logout .bash_profile .bashrc[root@localhost ~]# ca[Tab][Tab]//显示所有以ca 开...
Kali工具库之davtest
辰鬼的博客
05-17 1752
WEBDAV是基于HTTP 1.1的扩展协议,其支持使用PUT方法上传和锁定文件,基于这个特性可以实现功能强大的内容或配置管理系统。但丰富的功能特性总是会带来安全方面的更多隐患,尤其是在配置不当的情况下,可能直接给攻击者留下一个文件上传的入口。davtest是一个文件上传漏洞的检测和验证工具,而cadaver作为一个命令行形式的WEBDAV客户端程序,可以对相应服务器进行任何操作。本课我结合以上两个工具,分别向服务器上传正向、反向WEBSHELL,从而最终实现对目标服务器的远程控制。 原文: Usage:/
网络攻击常见方法及对策计算机专业论文.doc
07-08
网络攻击常见方法及对策计算机专业论文.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值