- 博客(26)
- 收藏
- 关注
原创 THM学习笔记——Pickle Rick
发现登录框,猜测Wubbalubbadubdub为密码,结合在源代码里找到的用户名,登录。继续打开其他文件找寻有用信息。在系统文件中寻找其他成分。发现目标信息 rick。使用dirsearch。
2024-01-30 18:15:47 532 1
原创 THM学习笔记——网络工具
互联网由许多个不同的服务器和端点组成,它们都相互联网。这意味着,为了获得你想要的内容,你首先需要通过一堆其他的服务器。Traceroute允许你查看计算机和你请求的资源之间的每个中间步骤。Whois 本质上允许你查询域名注册给谁。但是,在其他地方,你可能会从 Whois 搜索中获得大量信息。Dig 允许我们手动查询我们选择的递归 DNS 服务器以获取有关域的信息。当我们想要测试是否可以连接到远程资源时,会使用 ping 命令。这里只是简单的介绍了最基础的用法,更详细的请大家自行搜索。
2024-01-25 20:58:43 529
原创 THM学习笔记——OSI模型和TCP/IP模型
使用TCP时,传输是基于连接的,这意味着建立并保持了计算机之间的连接,以便在请求的整个过程中进行通信。随着数据在模型的每一层传递下去,都会添加有关特定层的细节的信息到传输的起始位置。请注意,在整个过程中,封装的数据在不同步骤中被赋予不同的名称。当数据链路层接收数据时,它还扮演着重要的角色,因为它检查接收到的信息,以确保在传输过程中未损坏,而这在数据被传输的第1层:物理层时可能发生。选择了协议后,传输层将传输分解成一小块一小块的部分(在TCP中称为段,在UDP中称为数据报),这使得成功传输消息变得更容易。
2024-01-25 17:01:48 1123
原创 THM学习笔记——SSRF
SSRF代表Server-Side Request Forgery(服务器端请求伪造)。允许恶意用户使Web服务器向攻击者选择的资源发出附加或编辑的HTTP请求。
2024-01-21 16:19:54 909 1
原创 THM学习笔记——文件包含
文件包含是一种常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行代码的路径时,文件包含漏洞会导致攻击者任意控制运行时执行的文件。文件包含漏洞分为本地文件包含 (LFI) 和远程文件包含 (RFI)两种类型。本地文件包含是通过浏览器包含web服务器上的文件,这种漏洞是因为浏览器包含文件时没有进行严格的过滤允许遍历目录的字符注入浏览器并执行。远程文件包含就是允许攻击者包含一个远程的文件,一般是在远程服务器上预先设置好的脚本。
2024-01-18 11:07:31 1074
原创 THM学习笔记——IDOR
IDOR是不安全直接对象引用的缩写,是一种访问控制漏洞。这种漏洞可能发生在Web服务器接收用户提供的输入以检索对象(文件、数据、文档)时,对输入数据过于信任且未在服务器端进行验证以确认请求的对象是否属于请求它的用户。想象一下你刚刚注册了一个在线服务,你想要更改个人资料。你点击的链接是好奇心让你尝试将user_id的值改为1000(你发现你能够看到另一个用户的信息。这就是一个IDOR漏洞!
2024-01-18 10:35:56 456
原创 THM学习笔记——网络黑客简介(1)
有时身份验证过程包含逻辑缺陷。逻辑缺陷是指应用程序的典型逻辑路径被黑客绕过、规避或操纵的情况。逻辑缺陷可能存在于网站的任何区域。
2024-01-17 23:00:58 887
原创 THM学习笔记——网络黑客简介
自动发现是使用工具而不是手动发现内容的过程。这个过程是自动的,因为它通常包含对 web 服务器的数百、数千甚至数百万次请求。这些请求检查网站上的文件或目录是否存在,使我们能够访问以前不知道存在的资源。这个过程通过使用一个称为 wordlists 的资源变得可能。Wordlists 只是包含常用单词的长列表的文本文件;它们可以涵盖许多不同的用例。
2024-01-17 22:05:40 768
原创 THM学习笔记—补充
当你请求一个网站时,你的计算机需要知道与之通信的服务器的IP地址;为此,它使用DNS。然后,你的计算机使用一组称为HTTP协议的特殊命令与Web服务器通信;然后,Web服务器返回HTML、JavaScript、CSS、图像等,你的浏览器使用这些内容正确格式化并显示给你。
2024-01-15 14:58:25 906 1
原创 THM学习笔记--XSS
跨站脚本(Cross-site scripting)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
2024-01-01 11:55:04 919
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人