实训day3

最新推荐文章于 2024-09-12 23:00:00 发布
最新推荐文章于 2024-09-12 23:00:00 发布
阅读量463 收藏 14
点赞数 16
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63785972/article/details/141718924
版权

任务一:安装xray

  • 一、xray安装步骤

  1. 从官网下载安装xray,并进入cmd界面
  1. 打开xray所在目录,双击ca.crt,安装证书

3.点击安装证书

4.选择本地计算机

5.选择将所有证书都放入下列中存储,点击浏览,选择受信任的根证书颁发机构

6.证书安装完成

二、主动扫描

1.输入代码运行xray

xray_windows_amd64.exe webscan --basic-crawler http://127.0.0.1/pikaqiu --html-output xray-crawler-testphp.html

webscan是Xray工具的一个子命令或模式,指定了要进行的是Web扫描。

--html-output表示输出格式为HTML,xray-crawler-testphp.html是输出文件的名称。扫描完成后结果将以HTML格式保存在当前目录下的xray-crawler-testphp.html文件中,便于后续查看和分析。

2.点击生成的html文件查看漏洞扫描结果

三、被动扫描

1.foxfire下载插件FoxyProxy设置代理127.0.0.1:8989,就可以自动分析代理流量并扫描

2.输入命令.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989--html-output proxy.html,开始监听

3.在xray目录下查看漏洞报告

任务二:安装goby(实现对皮卡丘靶场的扫描)

一、安装goby

1.安装goby.exe,在官网https://gobies.org/#dl下载。注:由于先尝试安装goby的最新版本2-9-6时遇到了问题,运行goby.exe很容易卡死在进入页面,经过查找网上资料我发现也有别的用户在下载较新版本的goby时也遇到同样的问题,所以最后我安装的是较早的版本goby-win-x64-1.9.325,可以成功打开。

2.注册goby账户,登入网页版goby后,刷新获取自己的api秘钥,使用用户名(邮箱)和key在下载的goby.exe登录

  • pikaqiu靶场扫描

1.添加扫描项目

2.点击start开始扫描,查看结果

任务三:实现xray和burpsuite联动扫描

一、联动扫描

1.打开burpsuite,在setting中搜索upstream,添加代理服务器:127.0.0.1:8989进行抓包

2.使用火狐浏览器进入pikaqiu

3.使用xray命令监听端口

4.在burpsuite上抓包

二、流量走向描述

1.请求发起与拦截

用户请求发起:用户通过浏览器发起HTTP/HTTPS请求,这些请求首先被配置为通过代理服务器BurpSuite发送。

BurpSuite作为初级代理拦截请求:BurpSuite作为初级代理服务器,拦截用户通过浏览器发出的所有HTTP/HTTPS请求。BurpSuite允许用户查看、修改或丢弃这些请求,同时可以选择是否将特定的请求转发给Xray进行进一步扫描。

2.请求转发至Xray

配置上游代理:在BurpSuite中,用户需要设置顶级代理服务器,其地址和端口设置为Xray的监听地址和端口。这样,BurpSuite就能够将选定的请求转发给Xray。

Xray接收请求:Xray监听指定的端口(如127.0.0.1:8989),并接收来自BurpSuite转发的请求。这些请求随后被Xray进行自动化的Web漏洞扫描。

3.Xray处理请求与响应

自动化扫描:Xray接收到请求后,会利用内置的漏洞检测算法和插件对请求进行深度分析,尝试发现潜在的Web漏洞,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。

响应处理:目标服务器处理完请求后,将响应返回给Xray。Xray可以分析响应内容,进一步确认是否存在漏洞,并将分析结果返回给BurpSuite或直接通过BurpSuite返回给浏览器(取决于配置)。

4.响应返回给用户

BurpSuite转发响应:BurpSuite接收来自Xray或目标服务器的响应,并根据配置决定是否对其进行修改,然后将响应转发给浏览器。

用户查看响应:用户在浏览器中查看最终的响应内容,同时也可以在BurpSuite中查看和分析Xray的扫描结果,以进一步了解目标Web应用程序的安全状况。

不快乐的C语言人
关注
  • 16
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安卓实训 DAY3 —— 用户注册界面(单选和复选按钮)
weixin_62499894的博客
06-15 1117
今天是学习的第三天,分享一点有用的东西
WEB应用开发综合实训day3
weixin_48978100的博客
09-08 528
本节实训内容为Spring Web Mvc框架、表单提交、JSON数据转换器 文章目录新建maven-archetype-webapp项目导入SpringMvc依赖配置web.xml创建项目目录配置tomcat运行项目配置spring-mvc.xmlWEB-INF文件夹 新建maven-archetype-webapp项目 不要选择前两天的quickstart项目 导入SpringMvc依赖 pom.xml <!-- https://mvnrepository.com/artifact/org..
实训Day3
m0_74890881的博客
01-24 391
在数组声明时,如果不给数组直接赋值,byte/short/int/long的默认值时0,float/double的默认值为0.0,布尔类型的默认值为false。(1)私有化成员变量private(2)提供共有的get和set方法,进行值的合理判断(3)在构造方法中调用set方法进行合理值的判断。引用:引用数据类型 引用变量名 = new 引用数据类型();权限修饰符 返回值类型 成员方法名(形参数据类型 形参1,形参数据类型 形参2)对象:new 引用数据类型();数组下标:数组的下标从0开始。
web实训day3
weixin_48507452的博客
11-17 119
整体代码如下: <!DOCTYPE html> <html lang="en"> <head> <title>奥运五环</title> <style type="text/css"> *{ margin: 0; padding: 0; } .wrapper{ width: 780p.
实习实训day3
ZXY10298的博客
08-29 863
1.安装xray 实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)2.安装goby,实现对皮卡丘靶场的扫描,无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作3.加分项:实现xray和burpsuite联动扫描4.加分项:说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理。
黑马实训Day3
m0_74228863的博客
04-24 926
数据库是为捕获数据而设计,数据仓库是为分析数据而设计数据库设计是尽量避免冗余,一般针对某一业务应用进行设计,比如一张简单的User表,记录用户名、密码等简单数据即可,符合业务应用,但是不符合分析。(CREATE EXTERNAL TABLE table_name ...)被external关键字修饰的即是外部表,外部表又称非管理表或者非托管表。:面向主题的(Subject-Oriented)、集成的(Integrated)、非易失的(Non-Volatile)和时变的(Time-Variant)
项目实训day8
03-04
在“day8”这个压缩包文件中,可能包含了实训项目这一天所涉及到的代码、模型、日志或其他相关资料。这些资料可以帮助我们进一步理解如何在实际项目中运用PyTorch进行深度学习模型的构建和训练。通过学习和实践这些...
Android实训 DAY1
weixin_62499894的博客
06-12 689
正式学习Android的第一天
python实训目的意义_Python-暑期实训day 1
weixin_39854070的博客
11-26 5037
python基础:一 编程语言什么是编程语言?上面提及的能够被计算机所识别的表达方式即编程语言,语言是沟通的介质,而编程语言是程序员与计算机沟通的介质。在编程的世界里,计算机更像是人的奴隶,人类编程的目的就命令奴隶去工作。什么是编程?编程即程序员根据需求把自己的思想流程按照某种编程语言的语法风格编写下来,产出的结果就是包含一堆字符的文件。强调:程序在未运行前跟普通文件无异,只有程序在运行时,文件内...
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 729
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
Redis 多线程模型详解
lssffy的博客
09-11 668
在 Redis 的早期版本中,Redis 采用了典型的单线程模型,即所有的客户端请求都是由 Redis 的主线程依次处理的。具体来说,Redis 使用单线程的事件循环模型来处理客户端的请求和响应,使用了操作系统的selectpoll或epoll来管理多个客户端连接。为什么 Redis 选择单线程?简单性:单线程模型不需要考虑线程间数据竞争问题,避免了锁机制带来的复杂性和潜在的性能开销。避免上下文切换:多线程环境下,线程的上下文切换会引入额外的 CPU 负担,而单线程架构没有这个问题。性能足够。
以太坊开发环境
禅与代码的艺术
09-07 1302
详细讨论了以太坊测试网络和私有网络。在初步介绍了私有网络设置之后,演示了如何使用 Geth 命令行工具执行各种功能,以及如何与以太坊区块链进行交互。还讨论了如何使用 Mist 来部署合约和发送交易。
Netty笔记03-组件Channel
最新发布
weixin_46425661的博客
09-12 326
本文主要讲解Netty中的组件Channel、ChannelFuture和CloseFuture
【2025】基于PHP职业病健康管理系统(源码+论文+部署讲解等)
程序员阿龙的博客
09-10 1667
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Thinkphp5实现一周签到打卡功能
Crazy_shark的博客
09-10 562
以上是一个简单的 ThinkPHP5 实现一周签到打卡功能的示例。通过设计合适的数据库结构和控制器逻辑,你可以轻松实现用户签到和连续签到天数统计功能。在实际应用中,可能需要考虑更多的细节,如用户身份验证、签到奖励、接口优化等。
【网络安全】-rce漏洞-pikachu
weixin_65311462的博客
09-12 695
由于应用程序在处理用户输入时未能正确验证、过滤或限制输入数据,导致hacker能通过网络在目标系统上执行任意代码或命令,从而完全控制受影响的系统。RCE漏洞是一种严重的安全漏洞类型,对系统安全构成重大威胁。
PLC(电力载波通信)网络机制介绍
u010467490的博客
09-08 1128
电力载波通讯即PLC,是英文Power line Carrier的简称。电力载波是电力系统特有的通信方式,电力载波通讯是指利用现有电力线,通过载波方式将模拟或数字信号进行高速传输的技术。最大特点是不需要重新架设网络,只要有电线,就能进行数据传递。CCO在所有相线上工作,STA只在一个相线上工作,不同相位具有不同的过零时间,CCO通过采集STA的过零时间确定STA的相位时分多址传输,设备独占间隙,数据包根据指定时间进行发送载波侦听多路访问/冲突检测,设备共同占有间隙,判断信道空闲,竞争进行发送。
第四届长城杯部分wp
weixin_74427106的博客
09-09 648
还是太菜了,要经常练了。
c语言简单万年历实训报告
06-02
以下是一个简单的C语言万年历的实训报告,供您参考: 一、实训目的 本次实训的主要目的是通过编写一个简单的C语言万年历程序,巩固C语言基本语法和编程思想,提高编程能力和解决问题的能力。 二、实训要求 1、能够使用C语言基本语法和控制语句编写程序。 2、能够使用数组来存储和操作数据。 3、能够使用函数来实现模块化编程。 4、能够使用指针来操作内存中的数据。 5、能够使用文件来读取和写入数据。 三、实训内容 1、程序功能 本程序实现了一个简单的万年历功能,可以通过输入年份和月份来显示该月的日历。 2、程序实现 以下是本程序的主要代码实现: ```c #include <stdio.h> // 判断是否为闰年 int is_leap_year(int year) { if ((year % 4 == 0 && year % 100 != 0) || year % 400 == 0) { return 1; } else { return 0; } } // 获取某个月份的总天数 int get_days(int year, int month) { int days[] = {31, 28 + is_leap_year(year), 31, 30, 31, 30, 31, 31, 30, 31, 30, 31}; return days[month - 1]; } // 获取某个日期是星期几 int get_weekday(int year, int month, int day) { if (month == 1 || month == 2) { year--; month += 12; } int c = year / 100; int y = year % 100; int w = y + y / 4 + c / 4 - 2 * c + 26 * (month + 1) / 10 + day - 1; w = (w % 7 + 7) % 7; return w; } // 显示日历 void show_calendar(int year, int month) { int days = get_days(year, month); int weekday = get_weekday(year, month, 1); printf(" 日 一 二 三 四 五 六\n"); int i; for (i = 0; i < weekday; i++) { printf(" "); } for (i = 1; i <= days; i++) { printf("%2d ", i); if ((weekday + i) % 7 == 0) { printf("\n"); } } if ((weekday + days) % 7 != 0) { printf("\n"); } } int main() { int year, month; printf("请输入年份:"); scanf("%d", &year); printf("请输入月份:"); scanf("%d", &month); if (month < 1 || month > 12) { printf("月份输入错误!\n"); return 1; } printf(" %d年%d月\n", year, month); show_calendar(year, month); return 0; } ``` 四、实训总结 通过本次实训,我学会了如何使用C语言来编写一个简单的万年历程序,巩固了C语言基本语法和编程思想,加强了对函数、数组、指针、文件等概念和用法的理解,提高了编程能力和解决问题的能力。同时,我也意识到在编程过程中需要注重代码的规范、可读性和可维护性,这对于日后的开发工作非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值