- 博客(10)
- 收藏
- 关注
RSS订阅原创 第五周总结
file inclusion学习这个周的csdn主要是学会如何通过url动态/包含文件。我们这里就需要通过找到文件包含的漏洞,在这里我们再csdn中主要是看到了?page这种文件包含漏洞的特征,除了这种,还有?home,?file,这些,当然我们还没有遇到。在进行操作时,我们有几种方法。通过报错,找到服务器文件的绝对路径,通过自己构造url来读取服务器文件。若要增加隐蔽性可以通过执行远程命令,即利用hppt。当然,再dvwn中,我们在medium中就看到了他在源代码中过滤了http,但这时,我们
2020-06-08 21:59:12
153
原创 web week five
web week five任务学习file inclusion,了解各种伪协议姿势;完成dvwa第三个模块file inclusion;继续学习php。File inclusionFile Inclusion,意思是文件包含漏洞,是指当服务器开启allow_url_include选项时,就可以通过php的一些特性函数include()require()include_once()require_once()利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文
2020-06-05 23:00:00
151
原创 第四周总结
CSRF学习CSRF就是跨站请求伪造,看起来很是高大上的名词,实际上就是你在登陆上的时候,还没有进行登出,这时候别人给你发过来一个网址或者是你看到一个网址,你点进去了,这时候这个恶意链接就会进去你正在登陆的地址进行操作,干点啥坏事你也不清楚,这就是CSRF进攻。在DVWA进行CSRF操作的时候,最简单的就是直接通过url进行CSRf攻击,这种方法极其简单,也极其简单被看出来,明眼人一看你的网址就知道你不想干好事。这时候这个方法主要适用于他没有一点防护意识的时候,在medium级别的时候加了这么一句 i
2020-05-24 20:39:54
126
原创 web week four
web week four内容:学习CSRF(跨站请求伪造);完成dvwa第三个模块CSRF;继续学习php以及HTMLCSRF学习一、概述CSRF(跨站请求伪造),是指利用受害者尚未失效的身份认证信息(cookie、session会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害人的身份向服务器发送请求,从而完成非法操作(如转账、改密等)。举个例子,你在向别人转钱的时候,钱转过去了,登陆的页面还没有关闭,那么这时候,突然有人又给你发过来发过来一个网址,
2020-05-23 20:06:58
164
原创 第三周总结
任务一学习windows和Linux命令,这个东西实在是多,只能是每天安排点任务,就像背英语单词似的。更难记一些以后遇到了多查询,能看懂,毕竟日久生情吗。。。任务二完成dvwa的第二个模块command execution(命令注入)。在做不同级别的命令注入时,首先要看看它的源代码,有没有什么加密的手段来进行命令的过滤,例如这次做的黑名单模式,把能够用到的简单的符号,例如"&" “|”,这些改为“ ”,这样在你进行命令注入时将他所有包含的黑名单中的符号进行改变,以防止命令注入。这里面利用了
2020-05-17 21:26:32
124
原创 web week three
web week three内容:学习windows和Linux命令;完成dvwa的第二个模块command execution(命令注入);继续学习php(重点关注数据类型和php弱类型)巩固练习:完成攻防世界web新手练习区的command_execution和simple_php;Jarvis OJ web的localhost和admin任务一说实话,这个东西确实是有点多,还是点需要记住常用的,附上学习地址。windows常用命令行命令https://blog.csdn.net
2020-05-16 16:13:38
167
原创 第二周总结
复现Week Two任务一Dirsearchdirsearch是一个基于python的命令行工具,暴力扫描页面,包括网页中的目录和文件。(这里用的是pthon3)所以说,他是目录爆破的好助手。在使用dirsearch进行目录爆破的时候执行./dirsearch.py -u 10.0.3.45 -e php就可以啦-u 指定url,在这里就是你要使用的dirsearch.py。-e 指定网站,你要扫描的网站网址。-w 可以加上自己的字典(带上路径),这里的要用.txt格式的。-r 递归跑
2020-05-10 17:23:14
108
原创 web week two
web week twoweb任务二:Web简单操作内容:学会使用dirsearch(Python3环境);学会使用hackbar(Firefox插件)和burpsuite 抓包改包功能;利用phpstudy搭建dvwa靶场学会使用burpsuit的Intruder模块,并完成dvwa的第一个模块brute force(high级别选做,可以网上拜拜大佬的文章)完成攻防世界web新手练习区的1、2、3、4、6、8、9题(一定要结合之前的学习成果)任务一:dirsearch执行./dir
2020-05-09 15:01:49
177
原创 第一周总结
一、复现Week One任务一主要就是安装几个应用的软件、工具呀,并且通过安装他们各自的环境(当然java环境安装不好,bp也不好使)这个过程主要就是自己刚刚接触这个东西,反正我是:哦~居然还有bp,居然还有php这些,当然Java是听说过的,具体安装教程也是从网上找的,反正不是很顺利,牢骚后面讲。任务二学习http的请求与响应,浅层次理解起来当然很容易,就是你请求,我应答,换做计算机互联...
2020-05-03 16:14:15
104
原创 web week one
web week one任务1.安装phpstudy,python,JAVA(jdk8)并配置好相关的环境,安装常用工具burpsuit,kali等;2.学习HTTP协议(请求与响应),学习利用burpsuite 实现简单的抓包改包;3.掌握PHP的基本语法、数据类型、变量常量4.学习markdown语法一、环境配置1、phpstudy2、JAVA(jdk8)3、burp...
2020-05-01 15:35:24
773
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人