- 博客(11)
- 收藏
- 关注
RSS订阅原创 Pikachu之Cross-Site-Scripting
alert(document.cookie)</script>Confirm替换:<script>confirm(/document.cookie/)</script>发现不行,查看源码,发现<script>alert(document.cookie)</script>大小写替换:<ScRiPt>AlErT(/document.cookie/)</sCrIpT>斜杠替换:<script>alert(/document.cookie/)
2023-12-27 00:45:00
929
1
原创 网络渗透测试实验四报告
实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。实验工具:不限目的:获取靶机Web Developer 文件/root/flag.txt中flag。基本思路:本网段IP地址存活扫描(netdiscover);网络扫描(Nmap);浏览HTTP 服务;网站目录枚举(Dirb);
2023-12-26 20:19:06
1626
2
原创 Pikachu之暴力破解
进行尝试试试看,发现username为admin,password为123456的可行。正则匹配到当前html页面中的value值,放进抓包的value值,然后发送。修改验证码后,发现依旧是账号密码错误,那是不是它就是不判断验证码呢?在不变且原本为正确的验证码情况下,修改账号密码提示账号或密码错误。说明在原本验证码正确的情况下,可以一直使用,不用更改它也不会报错。而修改了原本正确的验证码后在修改账号密码,发现它说验证码错误。有验证码的,题目也给了验证码绕过,发送给重发器。在正确验证码情况下,进行字典爆破。
2023-12-24 20:27:02
391
原创 网络渗透测试实验三报告
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具: Beef;SqlMAP;DVWA。
2023-12-24 20:04:37
1219
原创 网络渗透测试实验二报告
的工具,是一款用于在已知密文的情况下尝试破解出明文的破解密码软件,支持目前大多数的加密算法,如 DES 、 MD4 、 MD5 等。进行字典攻击就需要字典,而字典中含有各种密码、用户名,一一匹配进行登录尝试,所以字典就需要很庞大进行尝试,所以合适的字典就会增大破解的可能性,也会减少破解效率和时间,故而字典也是字典攻击里面最重要的一环。那么,口令的明文是什么?在截获B的数据时,A要对B的数据进行转发给网关,这样B才能恢复上网,不然B被arp欺骗之后不能上网,很快就可以发现问题,如此就需要进行IP代理。
2023-12-16 16:35:46
203
原创 渗透测试(笑脸漏洞)
在vsftpd2.3.4中在6200端口存在一个shell,使得任何人都可以进行连接,并且VSFTPD v2.3.4 服务,是以 root 权限运行的,最终获取到的权限也是root。
2023-12-13 12:15:57
305
1
原创 小组作业:前台任意用户密码修改(织梦DeDeCMS)
要把uploads里面的全部复制。复制成功后,重启Apache服务。下载好的压缩包有两个文件。
2023-12-11 17:49:56
42
原创 网络渗透测试实验一报告
随着公司以及商业团队对网络的依赖性的与日俱增,“道德黑客”攻击(或者说网络攻击测试)这项业务有着相当广阔的前景,大大小小的顾问公司都争着要进入这个利润丰厚的市场。SSH(Secure Shell)安全外壳协议,是一种建立在应用层基础上的安全协议,通过对密码进行加密传输验证,可以在不安全的网络中对网络服务提供安全的传输环境,实现SSH客户端和SSH服务器端的连接,所以SSH是基于客户端-服务端模式。不同,访问网站的是通过nat,得到的不是本机的ip,ioconfig是在内网中,查看到的是本机ip。
2023-12-09 12:45:59
147
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人