- 博客(10)
- 收藏
- 关注
原创 第五周总结
file inclusion学习 这个周的csdn主要是学会如何通过url动态/包含文件。 我们这里就需要通过找到文件包含的漏洞,在这里我们再csdn中主要是看到了?page这种文件包含漏洞的特征,除了这种,还有?home,?file,这些,当然我们还没有遇到。 在进行操作时,我们有几种方法。 通过报错,找到服务器文件的绝对路径,通过自己构造url来读取服务器文件。 若要增加隐蔽性可以通过执行远程命令,即利用hppt。当然,再dvwn中,我们在medium中就看到了他在源代码中过滤了http,但这时,我们
2020-06-08 21:59:12
262
原创 web week five
web week five 任务 学习file inclusion,了解各种伪协议姿势; 完成dvwa第三个模块file inclusion; 继续学习php。 File inclusion File Inclusion,意思是文件包含漏洞,是指当服务器开启allow_url_include选项时,就可以通过php的一些特性函数 include() require() include_once() require_once() 利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文
2020-06-05 23:00:00
280
原创 第四周总结
CSRF学习 CSRF就是跨站请求伪造,看起来很是高大上的名词,实际上就是你在登陆上的时候,还没有进行登出,这时候别人给你发过来一个网址或者是你看到一个网址,你点进去了,这时候这个恶意链接就会进去你正在登陆的地址进行操作,干点啥坏事你也不清楚,这就是CSRF进攻。 在DVWA进行CSRF操作的时候,最简单的就是直接通过url进行CSRf攻击,这种方法极其简单,也极其简单被看出来,明眼人一看你的网址就知道你不想干好事。这时候这个方法主要适用于他没有一点防护意识的时候,在medium级别的时候加了这么一句 i
2020-05-24 20:39:54
216
原创 web week four
web week four 内容: 学习CSRF(跨站请求伪造); 完成dvwa第三个模块CSRF; 继续学习php以及HTML CSRF学习 一、概述 CSRF(跨站请求伪造),是指利用受害者尚未失效的身份认证信息(cookie、session会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害人的身份向服务器发送请求,从而完成非法操作(如转账、改密等)。 举个例子,你在向别人转钱的时候,钱转过去了,登陆的页面还没有关闭,那么这时候,突然有人又给你发过来发过来一个网址,
2020-05-23 20:06:58
250
原创 第三周总结
任务一 学习windows和Linux命令,这个东西实在是多,只能是每天安排点任务,就像背英语单词似的。更难记一些以后遇到了多查询,能看懂,毕竟日久生情吗。。。 任务二 完成dvwa的第二个模块command execution(命令注入)。在做不同级别的命令注入时,首先要看看它的源代码,有没有什么加密的手段来进行命令的过滤,例如这次做的黑名单模式,把能够用到的简单的符号,例如"&" “|”,这些改为“ ”,这样在你进行命令注入时将他所有包含的黑名单中的符号进行改变,以防止命令注入。 这里面利用了
2020-05-17 21:26:32
200
原创 web week three
web week three 内容: 学习windows和Linux命令; 完成dvwa的第二个模块command execution(命令注入); 继续学习php(重点关注数据类型和php弱类型) 巩固练习:完成攻防世界web新手练习区的command_execution和simple_php;Jarvis OJ web的localhost和admin 任务一 说实话,这个东西确实是有点多,还是点需要记住常用的,附上学习地址。 windows常用命令行命令 https://blog.csdn.net
2020-05-16 16:13:38
306
原创 第二周总结
复现Week Two 任务一 Dirsearch dirsearch是一个基于python的命令行工具,暴力扫描页面,包括网页中的目录和文件。(这里用的是pthon3)所以说,他是目录爆破的好助手。 在使用dirsearch进行目录爆破的时候执行 ./dirsearch.py -u 10.0.3.45 -e php 就可以啦 -u 指定url,在这里就是你要使用的dirsearch.py。 -e 指定网站,你要扫描的网站网址。 -w 可以加上自己的字典(带上路径),这里的要用.txt格式的。 -r 递归跑
2020-05-10 17:23:14
177
原创 web week two
web week two web任务二:Web简单操作 内容: 学会使用dirsearch(Python3环境); 学会使用hackbar(Firefox插件)和burpsuite 抓包改包功能; 利用phpstudy搭建dvwa靶场 学会使用burpsuit的Intruder模块,并完成dvwa的第一个模块brute force(high级别选做,可以网上拜拜大佬的文章) 完成攻防世界web新手练习区的1、2、3、4、6、8、9题(一定要结合之前的学习成果) 任务一:dirsearch 执行./dir
2020-05-09 15:01:49
277
原创 第一周总结
一、复现Week One 任务一 主要就是安装几个应用的软件、工具呀,并且通过安装他们各自的环境(当然java环境安装不好,bp也不好使)这个过程主要就是自己刚刚接触这个东西,反正我是:哦~居然还有bp,居然还有php这些,当然Java是听说过的,具体安装教程也是从网上找的,反正不是很顺利,牢骚后面讲。 任务二 学习http的请求与响应,浅层次理解起来当然很容易,就是你请求,我应答,换做计算机互联...
2020-05-03 16:14:15
167
原创 web week one
web week one 任务 1.安装phpstudy,python,JAVA(jdk8)并配置好相关的环境,安装常用工具burpsuit,kali等; 2.学习HTTP协议(请求与响应),学习利用burpsuite 实现简单的抓包改包; 3.掌握PHP的基本语法、数据类型、变量常量 4.学习markdown语法 一、环境配置 1、phpstudy 2、JAVA(jdk8) 3、burp...
2020-05-01 15:35:24
900
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人
RSS订阅