麻瓜 | Web 安全入门
文章平均质量分 50
麻瓜明
这个作者很懒,什么都没留下…
展开
-
Web 中间件漏洞笔记
Web 中间件漏洞笔记原创 2022-04-18 12:23:34 · 4430 阅读 · 0 评论 -
MoneyBox 靶机笔记
一、搜集信息1、搭建好 MoneyBox 的靶机后,由于是桥接网络,用 nmap 扫描网段nmap 10.77.192.0/24发现目标为 10.77.192.219 继续搜集信息nmap -sV -A 10.77.192.219发现可以匿名 ftp 登录和开放了 80 端口还有 ssh进网站看看有什么线索 记得看看源码(ctrl + u)没发现什么有用的gobuster 扫描一下网站的目录发现 blogs 路径继续查看该路径以及其源码原创 2022-03-05 22:37:26 · 4690 阅读 · 1 评论 -
BurpSuite 爆破 SQL 注入
靶场用 burpsuite 进行抓包 (最好是用专业版 可以设置多线程快速爆破)右键该页面 Send to Intruder首先将 Attack type 改为 Cluster bomb 接着 Clear 清除全部变量然后 Add 变量到 username 和 password 的地方设置 payloadpayload 1 选择 Runtime file 也就是自己选择的字典 我这个是 kali 自带的 SQL.txtpayload 2 选择 Simple lis原创 2022-03-03 01:22:05 · 2173 阅读 · 0 评论 -
SQL 字符型注入
CTFHub SQL 字符型注入可以看到我们输入的数据会被单引号所括上尝试正常的 1 and 1=2 发现没有报错 还是有回显字符型的 1 and 1=2 就相当于只是字符串 并没有发挥其表达式的作用所以这就没有产生错误回显(不太明白为什么 sql 还是会查询到id = 1 的数据)这时候我们添加 ' 手动闭合前一个 sql 语句然后再拼接上我们的 sql 语句进行测试整个的 sql 语句大概是$ sql = "select Data from table_name .原创 2022-03-02 19:56:19 · 4448 阅读 · 0 评论 -
SQL 整数形注入
CTFHub SQL 整数型注入先 and 1=1 有回显接着 and 1=2 无回显也就错误页面 判断有 SQL 注入order by x 爆出几个字段order by 3 无回显 证明只有两个字段union 联合查询常用函数user() database() session_usr() @@version @@basedir @@datadir @@version_compile_os得到数据库名后 接着继续爆出该数据库的表名(奇怪.原创 2022-03-02 16:48:49 · 2693 阅读 · 1 评论 -
DC-1 靶机笔记
1、搭建好靶机后,由于采用的是桥接模式,前对网段快速 ping 一下,(因为试过很多次 nmap 都要等很久,不知道什么原因)。也可用 sudo arp-scan -l 查看 arp 缓存得知目的主机的 ip 地址,前提是要在桥接模式。2、使用 nmap 进行信息收集可知 80 端口有 drupal 搭建的网站,而且是 drupal 7经过在网上的一番搜索如何入手时都是使用 msfconsole 对 drupal 进行渗透对 drupal 在 msfconsole 中 .原创 2022-02-21 16:15:29 · 1204 阅读 · 0 评论 -
服务器搭建 vulhub 环境之更换端口
由于服务器的 80 端口被 web 服务所占用所以 docker 的 web 服务要更换端口我这里把端口更换为 8080记得要在服务器的控制端的安全组把该端口打开然后进行修改 docker-compose.ymlvim docker-compose.yml 修改端口为 8080:80错误修改(一开始就是这样 找了好久才发现原因)不能是 8080:8080...原创 2021-12-01 15:32:11 · 1454 阅读 · 0 评论 -
Ubuntu 安装 MySql 依赖错误
安装 mysql 时 出现以下错误正在设置 mysql-server-8.0 (8.0.26-0ubuntu0.20.04.2) ...Renaming removed key_buffer and myisam-recover options (if present)mysqld will log errors to /var/log/mysql/error.logmysqld is running as pid 26082dpkg: 处理软件包 mysql-server-8.0 (--c.原创 2021-08-16 16:07:24 · 3679 阅读 · 0 评论