周六了周六-CSDN博客

原创 pikachu-File Inclusion

通过这次漏洞的作业，我了解到了文件上传漏洞的一些相关知识，又更熟悉了一遍bp，一句话木马的上传，蚁键的连接包括在远程包含漏洞中，攻击者可以通过访问外部地址来加载远程的代码等。

2023-12-29 16:34:00 911 1

因为这个命令不但windows和linux系统都支持（windows xp不默认支持，可安装），而且显示的内容不同，不但可以用来判断是否有远程命令执行漏洞，还可以用来判断操作系统（linux系统中显示当前执行操作的用户名，windows系统中显示当前登录的域名和用户名）如果设计者在此输入界面的功能上没有做严格的安全控制，攻击者就可以通过此接口注入恶意的命令，让后台执行，从而控制整个后台服务器。成功连接就能进入对方电脑的后台了，可以看到对方的所有文件，攻击成功！命令执行一般发生在远程，故被称为远程命令执行。

2023-12-28 22:49:22 441 1

原创 pikachu-CSRF模块

攻击者可以搭建一个站点，在站点上做一个表单，诱导用户点击这个链接，当用户点击时，就会自动向存在CSRF的服务器提交POST请求修改个人信息编写一个CSGF.html页面，代码如下所示，这是插件没打开之前的，我重新修改了phonenum为66666，响应里面的是开了插件的能修改的，然后需要前后对比一下嘛。登录进来之后下边有一个修改个人信息，点击一下，将地址修改一下，提交了之后信息也修改成功了，然后跳转到会员中心界面了。，修改用户信息的时候，是不带任何不可预测的认证信息的。那么，这里应该是可以被利用的。

2023-12-28 17:43:14 770 1

原创 pikachu-暴力破解模块

可以看到两个不同的情形，跟第二关是很像的，但是验证码错误的时候会保留着账号密码，而当验证码正确，才会去判断账号密码是否合法，所以还是跟第二关一样先打开bp，在随便输入账号密码，但是验证码得正确。首先先打开bp，在火狐中打开代理，准备抓包，然后在pikachu中随便输入username和password，他会提示用户名和密码不存在，在bp中可以看到刚才输入的账号和密码。发送到重发器，修改账号和密码，发现重发器中响应的是账号密码不存在，并不是验证码错误，故仍然可以绕过验证码进行爆破，步骤和之前的关卡都一样。

2023-12-27 00:03:28 373 1

原创关于http与https的学习过程

当要访问的网站启用了 HTTPS 协议，而用户请求使用的是 HTTP 协议时，服务器会进行 HTTP 到 HTTPS 的重定向。这周上课老师布置了个可写可不写的课后作业，是关于为什么访问学校地址http,最后访问的却是https，觉得还是挺有意思的就去了解了一下（记录一些学习的过程）总的来说是https的安全性比http的高，也是在给咱们用户访问的地址加保护壳，能更好地应对一些敌意的网址攻击和篡改，提高了网站的安全性。

2023-12-09 21:33:23 406 1

原创复现任务：前台任意用户密码修改

下一步就是在找回密码的页面中用Max HackBar对该网址传参，并用burpsuite拦截。在DeDeCMS的默认登录账号密码都为admin，在后台系统设置中打开会员系统。这时候得到key=E6ahekMh，把上列的网址的“amp;当你要注册时，会提示你系统关闭了会员功能，这时候去网站后台把会员功能打开。拦截之后发包，就能得到下面的回文，记录下来。这是我下载成功并配置好的DeDeCMS。这就是本次复现DeDeCMS漏洞的过程。记录一下这次小组作业的复现过程。之后就可以注册一个新的用户。

2023-12-04 10:36:44 373

原创利用Wireshark进行QQ流量分析

通过实验能了解并进一步掌握了TCP和UDP协议，还有QQ相关的OICQ协议，也了解了一些关于通过Wireshark捕获数据流的知识，任重道远继续加油吧！

2023-11-23 10:54:18 152 1

原创利用搜索引擎搜索

这就是利用ZoomEye搜索引擎进行相关搜索，在利用Google搜索引擎之前，还学会了利用代理。也了解到了很多关于安全的搜索引擎。

2023-11-23 01:12:37 21 1

原创网络渗透测试作业2

3. DHCP服务设置：如果校园网使用了动态主机配置协议（DHCP）来分配IP地址，而虚拟机的DHCP设置不正确，虚拟机可能无法获取校园网的IP地址。对于连接手机热点可以获得IP地址的情况，这可能是因为手机热点设置相对较简单且没有复杂的访问限制。此外，手机热点可能使用的是广播方式的IP地址分配，而不是基于网络限制的DHCP方式，因此虚拟机能够成功获取IP地址。1. 网络设置问题：虚拟机的网络设置可能没有正确配置，导致无法连接到校园网。物理机连接手机热点，Kali中查看网络配置并截图，能获得IP地址吗？

2023-11-13 00:15:25 20

ZhuoLLLLLL的博客