![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
个人周总结
cwt12345678
这个作者很懒,什么都没留下…
展开
-
第五周总结
file inclusion学习这个周的csdn主要是学会如何通过url动态/包含文件。我们这里就需要通过找到文件包含的漏洞,在这里我们再csdn中主要是看到了?page这种文件包含漏洞的特征,除了这种,还有?home,?file,这些,当然我们还没有遇到。在进行操作时,我们有几种方法。通过报错,找到服务器文件的绝对路径,通过自己构造url来读取服务器文件。若要增加隐蔽性可以通过执行远程命令,即利用hppt。当然,再dvwn中,我们在medium中就看到了他在源代码中过滤了http,但这时,我们原创 2020-06-08 21:59:12 · 176 阅读 · 0 评论 -
第四周总结
CSRF学习CSRF就是跨站请求伪造,看起来很是高大上的名词,实际上就是你在登陆上的时候,还没有进行登出,这时候别人给你发过来一个网址或者是你看到一个网址,你点进去了,这时候这个恶意链接就会进去你正在登陆的地址进行操作,干点啥坏事你也不清楚,这就是CSRF进攻。在DVWA进行CSRF操作的时候,最简单的就是直接通过url进行CSRf攻击,这种方法极其简单,也极其简单被看出来,明眼人一看你的网址就知道你不想干好事。这时候这个方法主要适用于他没有一点防护意识的时候,在medium级别的时候加了这么一句 i原创 2020-05-24 20:39:54 · 142 阅读 · 0 评论 -
第三周总结
任务一学习windows和Linux命令,这个东西实在是多,只能是每天安排点任务,就像背英语单词似的。更难记一些以后遇到了多查询,能看懂,毕竟日久生情吗。。。任务二完成dvwa的第二个模块command execution(命令注入)。在做不同级别的命令注入时,首先要看看它的源代码,有没有什么加密的手段来进行命令的过滤,例如这次做的黑名单模式,把能够用到的简单的符号,例如"&" “|”,这些改为“ ”,这样在你进行命令注入时将他所有包含的黑名单中的符号进行改变,以防止命令注入。这里面利用了原创 2020-05-17 21:26:32 · 136 阅读 · 0 评论 -
第二周总结
复现Week Two任务一Dirsearchdirsearch是一个基于python的命令行工具,暴力扫描页面,包括网页中的目录和文件。(这里用的是pthon3)所以说,他是目录爆破的好助手。在使用dirsearch进行目录爆破的时候执行./dirsearch.py -u 10.0.3.45 -e php就可以啦-u 指定url,在这里就是你要使用的dirsearch.py。-e 指定网站,你要扫描的网站网址。-w 可以加上自己的字典(带上路径),这里的要用.txt格式的。-r 递归跑原创 2020-05-10 17:23:14 · 117 阅读 · 0 评论 -
第一周总结
一、复现Week One任务一主要就是安装几个应用的软件、工具呀,并且通过安装他们各自的环境(当然java环境安装不好,bp也不好使)这个过程主要就是自己刚刚接触这个东西,反正我是:哦~居然还有bp,居然还有php这些,当然Java是听说过的,具体安装教程也是从网上找的,反正不是很顺利,牢骚后面讲。任务二学习http的请求与响应,浅层次理解起来当然很容易,就是你请求,我应答,换做计算机互联...原创 2020-05-03 16:14:15 · 110 阅读 · 0 评论