- 博客(10)
- 收藏
- 关注
原创 day5-针对pikachu靶场的ssrf漏洞编写黑名单与白名单,解释自己实现的防御效果
尝试利用url来进行ssrf,发现是可行的。这里的url没做过滤所所以能进行ssrf。
2023-11-25 17:22:18 34
原创 day4-渗透测试_信息收集
通过让对方邮件服务器给我发送邮件,因为一般来说邮件服务器和web服务器都是在一台主机上,也就是同一个IP,服务器发邮件是以自己的真实IP发送的。查找目标有无子域名,查找子域名,子域名部署跟目标在同一台服务器,同一网段,可以进行爆破子域名的IP地址。国外不同地区IP ping 这个域名,如果ping的域名解析IP为同一个,很大概率为真实IP。配置文件泄露,如phpinfo(),前端的js代码,html代码都有可能会有IP地址的泄漏。查找目标域名的关联域名,如:.cn .com .org等等,来查找IP。
2023-11-24 20:43:06 26
原创 day3-java反序列化&php反序列化靶场&之前漏洞复习
查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。查看旁站有没有通用性的cms或者其他漏洞,如果存在cms,则可以针对CMS的版本进行相关的漏洞利用。对于一些特殊的网站,还可以尝试社会工程学攻击,比如伪造邮箱链接钓鱼,伪造短信或者电话骗取验证码等等。查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如:ftp,ssh,弱口令等等。如果确实找到了一些安全的问题则向相关的负责人反馈,提出修复的建议。首先获取网站的域名,查看是否有子域名。
2023-11-22 17:05:51 69
原创 day2-dvwa命令执行漏洞代码审计&PHP反序列化
php反序列化漏洞,是手工测试不出来的,只能通过代码审计漏洞原因是因为没有对用户上传的代码进行审核过滤或者魔法函数中存在危险的动作能够被用户的代码调用。
2023-11-21 21:06:45 155 1
原创 day1-常规漏洞复习1
进入靶场环境提示初始化,点击第0步不用管第1步,进入pikachu里的okxss/inc/config.inc.php文件修改文件内容,把密码改成自己数据库的密码第2步,点击安装/初始化按钮。
2023-11-20 21:45:08 177 1
原创 Linux基础命令
echo "i love you" > root.txt 本来应该输出在终端中现在重定向到root.txt中了。echo "i love you" > ajest 重写文件内容。echo "i love you" >> ajest 追加文件内容。移动root.txt文件到/root/Desktop/zzxx下。touch root.txt 创建名称为root的txt文件。查看(纯文本)文件,在终端标准输入输出的,可打印字符。查看文件,不同的意义的文件会有不同的颜色。
2023-09-25 19:55:51 31 1
原创 Linux 系统初识-安装centos 7
选择要安装的linux centos7 64位版本。删除USB控制器,声卡,打印机 这些都是用不到的。选择第一个Install centos 7。安装过程中配置root密码以及普通用户。选择workstation 12.x。安装CentOS7 操作系统。按自己的需求,选1GB就够。因为这个版本兼容的产品多。下面按推荐一步步走就可以。CD/DVD选择光盘文件。最好就选择英文不要选中文。配置完以后点击右下角安装。安装完以后再选择就行。
2023-09-25 19:44:50 42 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人