- 博客(27)
- 收藏
- 关注
RSS订阅转载 XSS Challenges 练习(1-10)
这几天对XSS Challenges平台进行了练习,网上也有一些相应的解答博客,但是写得都差不多,我觉得可以试一下从怎么做这种题的角度出发去思考问题。第一题:http://xss-quiz.int21h.jp/大概意思就是弹窗内容为(document.domain);就可以通关。直接使用<script>alert(document.domain);</scr...
2019-05-28 16:00:00
459
转载 逻辑漏洞思路整理
这几天看一些逻辑漏洞的资料,整理了一下关于逻辑漏洞的思路可能不是很全以后慢慢补充。与传统漏洞相比,逻辑漏洞具有不易发现、不易防护的特点,不像SQL注入、XSS漏洞可以上WAF等一些防护手段就可以控制;重点应该放在比如:个人信息区域、密码修改区域、密码忘记区域、支付区域、手机号区域等。这几个区域一般都是严重高危漏洞的始发点,任何一个地方出问题,都有可能造成企业、用户损失。而且每个公司的...
2019-05-19 14:27:00
271
转载 BeEF 获取同局域网内用户浏览器信息
1、将kali网络适配器改为桥接模式打开网络适配器,获取权限修改桥接模式,进行应用重启网卡 /etc/init.d/networking restart查看IP地址查看网络通不通2、开启BeEF服务在本地测试一下http://192.168.1.241:3000/demos/butcher/index.html在同一...
2019-05-06 08:56:00
264
转载 Beff的学习
Beff介绍BeEF,全称The Browser Exploitation Framework,是一款针对浏览器的渗透测试工具。首先打开kali,直接点击beef图标打开beef浏览器会默认弹出beef登录界面,默认登录名密码均为beef登录系统在本地浏览器输入Beff默认页面(kali的IP+端口号3000+默认地址):http://192.1...
2019-04-28 23:09:00
2094
转载 CentOS 7安全加固
本次实验使用的centos 7 版本一、查找系统中是否存在空密码账户1、使用命令: awk -F: '($2==""){print $1}' /etc/shadow 直接查看。可以看到系统中没有空密码账户2、验证一下。添加一个账户qwe, 命令:useradd qwe(此时qwe虽然没有密码但是他还不能使用空密码登录)3、使用root账户清除qwe密码,...
2019-04-21 10:48:00
398
转载 Kali Linux Web后门工具、Windows操作系统痕迹清除方法
Kali Linux Web后门工具Kali的web后门工具一共有四款,今天只介绍WebaCoo首先介绍第一个WeBaCoo(Web Backdoor Cookie)WeBaCoo是一款隐蔽的脚本类Web后门工具。借助HTTP协议,它可在客户端和Web服务器之间实现执行代码的网页终端。WeBaCoo的精妙之处在于,Web服务器和客户端之间的通信载体是Cookie。这...
2019-04-14 22:12:00
828
转载 安装Kali linux
Kali介绍Kali Linux是基于debian的Linux发行版, 设计用于数字取证操作系统。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack来完成,BackTrack是他们之前写的用于取证的Linux发行版 。Kali Linux预装了许多渗透测...
2019-04-07 02:23:00
366
转载 设置虚拟机的本地端口映射
设置虚拟机的本地端口映射实验中的环境:CentOS 7安装了apache服务,使用的是默认端口号80,首先查看虚拟机IP,在本地浏览器输入虚拟机IP+端口号,测试一下服务没有问题,下面打开虚拟网络编辑器点击更改设置获取权限选中NAT模式,点击NAT设置进入NAT设置页面,点击添加进入设置页面。输入映射到主机端口8090,...
2019-03-31 22:27:00
731
转载 关于修改banner信息;nginx反向代理apache应用
本周实验1. Linux下Apache部署一个php页面,返回http数据包中查看server信息,修改Apache 配置使server banner自定义。2. nginx设置反向代理,代理上面Apache的应用。实验一1、安装PHP、MySQL、Apache安装PHP,首先安装epel-release,输入命令:yum -y install epel-rel...
2019-03-25 00:37:00
279
转载 关于nginx安装、iptables设置和查看端口指令netstat/ss
实验1:Nginx介绍Nginx("engine x")是一款是由俄罗斯的程序设计师Igor Sysoev所开发高性能的 Web和反向代理服务器,也是一个 IMAP/POP3/SMTP代理服务器。在高连接并发的情况下,Nginx是Apache服务器不错的替代品。Nginx安装首先使用以下命令安装nginx源rpm -ivh http://ng...
2019-03-18 15:40:00
444
转载 Linux常用命令总结
本周没做什么实验,不知道写点什么内容好,所以把学习Linux时总结的常用命令整理了一下做了个表格转载于:https://www.cnblogs.com/hai-long/p/10504757.html...
2019-03-10 11:45:00
74
转载 BurpSuite工具抓取手机的流量
1、设置BurpSuite监听策略(和电脑区别不大就简单写了)打开BurpSuite进入Proxy-Options界面,修改端口为8082、地址为第二项所有接口,点击OK2、设置手机代理首先保证手机和电脑用的是同一个WIFI,然后点击WIFI后面的详情,进行设置进入WIFI详情界面,点击代理代理选择手动进入设置页面,填写电脑本机IP以及刚刚设...
2019-03-03 17:08:00
231
转载 SSH配置
什么是SSH:SSH为Secure Shell的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们...
2019-02-24 15:23:00
339
转载 SQLMap工具的安装使用
SQLMap工具介绍:sqlmap是一个开源软件,用于检测和利用数据库漏洞,并提供将恶意代码注入其中的选项。 它是一种渗透测试工具,可自动检测和利用SQL注入漏洞,在终端中提供其用户界面。该软件在命令行运行,可供不同操作系统下载:Linux发行版,Windows和Mac OS操作系统。 除了映射和检测漏洞之外,该软件还可以访问数据库,编辑和删除数据,以及查看表格中的数据,例如用户,密...
2019-02-17 12:40:00
253
转载 DVWA-文件包含漏洞
本周学习内容:1.学习web安全深度剖析;2.学习安全视频;3.学习乌云漏洞;4.学习W3School中PHP;实验内容:进行DVWA文件包含实验实验步骤:Low1.打开DVWA,进入DVWA Security模块将 Level修改为Low,点击Submit提交;2.打开File Inclusion文件包含漏洞模块。3...
2019-01-27 16:28:00
278
转载 DVWA-弱会话ID
本周学习内容:1.学习web安全深度剖析;2.学习安全视频;3.学习乌云漏洞;4.总结Web应用安全权威指南;实验内容:进行DVWA弱会话ID实验实验步骤:Low1.打开DVWA,进入DVWA Security模块将 Level修改为Low,点击Submit提交;2.进入命令注入Weak Session ID模块3.查看页面源代码...
2019-01-19 23:20:00
423
转载 第十一周学习笔记
本周学习内容:1.学习web应用安全权威指南;2.观看安全学习视频;实验内容:进行DVWA命令注入漏洞实验步骤:Low1.打开DVWA,进入DVWA Security模块将 Level修改为Low,点击Submit提交;2.进入命令注入Command Iniection模块3.在输入框输入127.0.0.1,点击Submit提交,此时发...
2019-01-13 19:40:00
108
转载 第十周学习笔记
本周学习内容:结合DVWA学习Web应用指南实验内容:进行DVWA文件上传漏洞实验步骤:Low1.打开DVWA,进入DVWA Security模块将 Level修改为Low,点击Submit提交;2.进入File Upload模块3.查看页面代码,发现服务器并没有进行任何限制条件4.将一句话木马<?php@eval($_POST...
2019-01-06 22:41:00
174
转载 第九周学习笔记
本周学习内容:1.结合DVWA学习Web应用安全权威指南实验内容:使用BurpSuite工具进行DVWA暴力破解实验步骤:1.打开DVWA,进入DVWA Security模块将 Level修改为Low,点击Submit提交;2.进入Brute Force模块3.打开谷歌浏览器SwitchyOmega,设置谷歌代理8082端口,使用代理访问DVWA...
2018-12-30 22:49:00
101
转载 第八周学习笔记
本周学习内容:1.学习web应用安全权威指南;2.学习乌云漏洞;实验内容:DVWA实验XSS跨站脚攻击实验步骤:Low1.打开DVWA,进入DVWA security模块,将难度修改为Low,点击submit进行保存2.进入XSS(Reflected)模块,输入代码<script>alert(/xss/)</script>,点击...
2018-12-24 00:57:00
128
转载 搭建使用PHPstorm环境
本周学习内容:1.学习PHP;2.复习技能表;3.学习正则表达式;实验内容:1.安装PHPstorm环境,破解PHPstorm;2.PHPstorm运行PHP代码3.PHPstorm安装Xdebug(PHPstorm窗口页面颜色有不一致是因为本机之前安装过,重新安装时没有配置的窗口了,所以在虚拟机里面安装了一个win7,重新安装截的图)实验1步骤...
2018-12-16 22:49:00
275
转载 XAMPP环境搭建WordPress,DVWA
本周学习内容:1.学习MySQL数据库、Linux、PHP开发;2.复习等级培训内容;3.使用xampp环境安装WordPress,学习WordPress数据库表的设计;4.使用xampp安装DVWA;5.把工具重新安装一遍,实验重新都做了一遍;实验内容:使用XAMPP设置环境安装WordPress,DVWA,设置MySQL端口号3316,密码12345...
2018-12-09 18:11:00
392
转载 DOS窗口操作MySQL数据库
本周学习内容:1、学习MySQL数据库、Linux私房菜;2、等级评测培训;3、练习MySQL数据库、练习CentOS7;实验内容:1、使用DOS窗口进入MySQL数据库2、解决MySQL数据库输入中文乱码问题实验1步骤:1、打开Xampp,开启MySQL服务2、使用快捷键Win+R,输入cmd,打开DOS命令窗口3、进入Xampp...
2018-12-02 14:53:00
531
转载 BurpSuite安装、使用
本周学习内容:1.学习《网络是怎么连接的》和JavaScript;2.学习MySQL和Linux;3.熟悉burpsuite;4.使用wireshark观察数据包;5.XAMPP中mysql启动,使用navicat连接数据库,熟悉sql语句;6.安装使用CentOS 7,熟悉基础命令实验内容:1.Chrome安装配置SwithyOmega插件2....
2018-11-25 22:16:00
635
转载 SSH远程连接虚拟机,将虚拟机映射本地端口
本周学习内容:1、继续学习了网络是怎么连接的和JavaScript的内容;2、使用JavaScript实现在页面打印九九乘法表,将编写的乘法表部署到本地IIS服务器;3、安装sshd服务,使用SecureCRTPortable和putty连接虚拟机ssh登录,将ssh服务映射为本机2222端口,供其他人访问登录;4、编写index页面,使用meta和JS两种方式实现访问页...
2018-11-18 22:03:00
1743
转载 IIS服务部署页面
本周学习内容1、看完了html和黑客达人迷剩下的3/5,总结黑客达人迷;2、编写网站部署到本地IIS服务器,设置防火墙策略;3、安装nmap,使用nmap扫描同组计算机;4、使用SVN提交每日学习记录;5、安装fiddler抓包工具,观察流量;6、学习JavaScript1/7,网络是怎么连接的1/7;实验:编写html网站,部署到本机IIS8080端口...
2018-11-11 20:33:00
227
转载 安全学习记录
1、学习了HTML2/5,黑客达人迷2/5内容,技能表,安全入门1,安全入门2;2、安装和使用FTP客户端工具客户端工具FileZilla;3、安装了WMware14虚拟机,并在虚拟机上安装了CentOS6.7和Ubuntu操作系统;4、安装了SVN版本控制系统,服务器端和客户端;使用SVN进行上传、下载、更新操作,为同事提供SVN服务操作;5、安装并使用everything、Launc...
2018-11-04 18:02:00
77
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人