- 博客(7)
- 收藏
- 关注
RSS订阅原创 Burp suite 工具介绍
在渗透测试中,我们使用bp将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只有我们熟悉bp的使用,也使得渗透测试工作变得轻松和高效。即用户名字典的第一个payload与密码字典的第一个至最后一个进行组合爆破、用户名字典的第二个payload与密码字典的第一个至最后一个进行组合爆破等。因为bp工具是基于Java环境编写的工具,要先检查当前主机是否安装Java环境,没有安装Java的需要安装Java环境。即用户名字典的第一个payload与密码字典的第一个payload、用户名字典的第二个。
2023-08-10 19:09:42
2109
1
原创 http协议学习总结
一旦收到请求,服务器(向客户端)发回一个状态行,比如"HTTP/1.1 200 OK",和(响应的)消息,消息的消息体可能是请求的文件、错误消息、或者其它一些信息。为80)的HTTP请求。Http协议由Http请求和Http响应组成,当在浏览器中输入网址访问某个网站时, 你的浏览器会将你的请求封装成一个Http请求发送给服务器站点,服务器接收到请 求后会组织响应数据封装成一个Http响应返回给浏览器。若请求成功,会在HTTP头中包含一个名为“Allow”的头,值是所支持的方法,如“GET, POST”。
2023-08-03 17:14:13
78
原创 【无标题】
这里我在之前的题目中有遇到过但是还是没有想到可见复习也是十分重要的,那么我们就继续来操作。主要是查询一个东西的同时使用union select联合查询得到跟多的信息。出现了这样的情况,原因竟然是注释符要换成编码过的%23。那么就先随便输入账号和密码来看一下回应是什么。这里回应找不到第四行那么就往前找将4改为3(到4的时候就报错,说明3是个分界点,列数为3。那么下一步就是熟悉大的爆库了。那么就使用一下万能密码。然后就是正常的流程了(这边也是成功找到了方法。那么下一步就是获取表名。那么我们一步一步尝试。
2023-07-27 15:43:31
90
1
原创 使用xss钓鱼盗取用户cookie
那么可以看到第一步写入成功了,将cookie写入了我们事先建立好的网站,并且保存了下来,我们在点开gtck.html 去更加细致的查看里面是否有我们保存的cookie。这行代码也很简单,就是加载后转到我们搭建的web网页,向我们的网页传入用户的cookie,document.location='url'起到页面加载后转到。很简单的一个网页主要用来接收用户cookie,然后写入gtck.html文件里,然后我们在创建gtck.html文件,用来保存用户cookie。
2023-07-27 15:32:13
969
1
原创 第一题:[极客大挑战 2019]BabySQL
我们就可以尝试又多少列了,但是我们在尝试的时候发现order,or,by都被过滤掉了,所以我们只能通过其他的方式进行测试。我们发现到四的时候产生了报错,那么就证明这个列一共有三列,那么我们根据以上的推论就可以正常的进行sql注入了。查询表名,这里有很多东西也被过滤掉了比如from,where,information所以我们依旧使用双写绕过。发现这里or被过滤掉了 ,这里不论是大写还是小写的or都被过滤了,但是在尝试双写绕过看是否可以成功了。可以看到他这里成功了,可是在我输入flag的时候是错误的。
2023-07-22 16:39:03
108
原创 关于永恒之蓝漏洞和生成后门木马以及加壳免杀的学习过程以及一些经验的分享
首先这个文章是重点针对于加壳免杀的一个文章如果你是想在这个地方重点学习永恒之蓝或者利用msfvenom来生成后门木马,可以私信我给你们发word版的笔记,由于我也是一个新手,如果有不对的地方,希望有大佬可以指出。那么下面进入正题第一步加壳工具的安装和使用方法:第一步确定你所需要的版本,这里的加壳工具shellter有两个版本第一个版本是kali版安装步骤如下:apt-get update //更新apt-get install shellter //在线安装在kali上使用
2023-07-20 20:01:02
1163
1
关于如何使用shellter以及shielden对于正常软件的双重加壳,过火绒和360
2023-07-16
在内存取证中,的第一步就遇到这个问题
2022-11-08
TA创建的收藏夹 TA关注的收藏夹
TA关注的人