工具使用
文章平均质量分 86
一些工具使用的笔记,自学web安全路上读到的好文章。
鹏华李
CSDN年度博客之星安全领域Top2、阿里云专家博主、华为云享专家博主,多个CNVD漏洞报送者,参与国、各地级市攻防演练红队人员,参与杭州亚运会、成都大运会等重大项目等级保护工作,XCTF Reverse排行第九名,蓝帽杯最高全国第九名
展开
-
[工具使用]绕过付费-适用于谷歌/火狐/Edge浏览器
bypass-paywalls是一款浏览器插件,可以帮助绕过选定网站的付费原创 2024-04-08 19:15:25 · 13215 阅读 · 21 评论 -
工具传送门(持续更新)
点击下方链接开启传送门1、渗透神器:BurpSuit2、端口扫描:Nmap3、每一个懒的写注入语句的呆呆必备SqlMap4、黑暗引擎FoFa.so5、搜索引擎Google Hacking6、指纹识别WhatWeb7、流量监测WireShark8、WordPress网站渗透必备神器WPScan9、PWN手入门工具安装PWNTools10、内核动态调试Windbg11、进程监测Process Monitor12、动态调试和静态分析IDA 和 OnllyDe原创 2021-09-28 21:16:32 · 8445 阅读 · 1 评论 -
[工具使用]WpScan
WpScan概述主要参数工具使用扫描wordpress站点插件扫描扫描插件漏洞扫描主题扫描主题漏洞枚举wordpress用户名暴力破解密码结合MSF获取shell 不存在十全十美的文章,如同不存在彻头彻尾的绝望。 ——《且听风吟》村上春树概述WPScan是Kali Linux默认自带的一款漏洞扫描工具,它采用Ruby编写,能够扫描WordPress网站中的多种安全漏洞,其中包括主题漏洞、插件漏洞和WordPress本身的漏洞。最新版本WPScan的数据库中原创 2021-09-01 15:47:04 · 12429 阅读 · 1 评论 -
[工具使用]Wireshark
WireShark简单使用数据包的过滤抓取时过滤抓取后过滤数据流跟踪专业信息说明数据包的统计分析已解析的地址协议分级统计摘要说明(文件属性)导出对象——>HTTP数据包分析的小技巧 Veni, vidi, vici! 我来,我见,我征服! ——Julius Caesar恺撒一世Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinP原创 2021-09-01 12:02:04 · 12338 阅读 · 0 评论 -
[工具使用]WhatWeb
网站指纹识别工具WhatWebWhatWeb简介用法因为想要面对一个新的开始,一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些,就不叫新的开始,而叫逃亡。 ————玛丽亚·杜埃尼亚斯WhatWeb简介web指纹扫描主要用于对应用名称(版本)、服务器软件(版本)、编程语言(版本)、应用框架(版本)四大特征的识别,以实现对目标应用的准确标识。现有产品比如知道创宇的:ZoomEye网站指纹信息包括:应用名、版本、前端框架、后端框架、服务端语言、服务器操作系原创 2021-08-31 12:48:46 · 14555 阅读 · 0 评论 -
[工具使用]搜索引擎 Hacking
Google Hacking基本语法高级语法intextintitleallintitleinurlallinurlsitefiletypelinkrelated其他可能存在SQL注入的网页Google Hacking 是利用谷歌搜索的强大,来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门,不想被发现的后台入口,中量级的搜索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要原创 2021-08-30 00:29:03 · 18798 阅读 · 0 评论 -
[工具使用]黑暗引擎FOFA
黑暗引擎FOFAFOFA(点我进入)逻辑运算符搜索子域名domain搜索指定内容的host全部域名bodycert搜索选定应用的网站搜索指定开放端口的IP搜索指定协议的IP搜索IP或者网段的信息搜索指定CSS/JS网站常用的一些内容其他FOFA(点我进入)官网这样描述:FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。简单理解就是,一个本土加强版shodan,知道某产品在互联网的部署情况、原创 2021-08-29 20:46:03 · 31743 阅读 · 2 评论 -
[工具使用]SqlMap
[工具使用]SqlMapSqlMap常用指令探测目标网站是否存在注入本文采用实例:sqli-labs靶场Less-1SqlMap一款自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase和SAP MaxDB。采用五种独特的SQL注入技术,分别是:1、基于布尔原创 2021-08-29 17:26:08 · 52832 阅读 · 8 评论 -
[工具使用]BurpSuite
[工具使用]BurpSuiteProxy模块Repeater模块Intruder模块二级目录二级目录二级目录二级目录二级目录Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并能处理对应的HTTP 消息、持久性、认证、代理、日志、警报。首先推荐一款火狐中的插件 FoxyProxyProxy模块作用:代理默认是8080端口,我们也可以修改。我选用的是火狐,我们需要在火狐中进行原创 2021-08-28 22:58:11 · 19251 阅读 · 3 评论 -
[工具使用]之NMAP
[工具使用]NMAPNmap四大功能:1、主机发现(Host Discovery)2、端口扫描(Port Scanning)3、版本侦测(Version Detection)4、操作系统侦测(Operating Systemax Detection)参数整理nmap –iflist : 查看本地主机的接口信息和路由信息-A :选项用于使用进攻性方式扫描-T4: 指定扫描过程使用的时序,总有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的原创 2021-08-25 17:06:37 · 19424 阅读 · 2 评论