![](https://img-blog.csdnimg.cn/20201014180756913.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
渗透测试
文章平均质量分 90
hirak0
这个作者很懒,什么都没留下…
展开
-
lxd&lxc Group提权
lxd和lxcLinux Container(LXC)通常被认为是一种轻量级虚拟化技术,它介于Chroot和完整开发的虚拟机之间,LXC可以创建一个跟正常Linux操作系统十分接近的环境,但是不需要使用到单独的内核资源。Linux Daemon(LXD)是一个轻量级容器管理程序,而LXD是基于LXC容器技术实现的,而这种技术之前Docker也使用过。LXD使用了稳定的LXC API来完成所有的后台容器管理工作,并且增加了REST API支持,更进一步地提升了用户体验度。lxd/lxc Group -原创 2022-04-13 16:56:58 · 607 阅读 · 0 评论 -
基础入门-加密编码算法
前言在渗透测试中,常见的密码等敏感信息会采用加密处理,其中作为安全测试人员必须要了解常见的加密方式,才能为后续的安全测试做好准备,本章内容都是关于各种加密编码等知识,便于后期的学习和发展常见加密编码等算法解析MD5,SHA,ASC,进制,时间戳,URL,BASE64,Unescape,AES,DES等MD5最常见,常见的有16位和32位,密文由A-Z、0-9组成,不可逆(即不能逆向的破解)。16位的是32位中间的16位。密码常用MD5加密MD5算法的原理可简要的叙述为:MD5码以512位分组原创 2021-11-11 14:13:58 · 922 阅读 · 0 评论 -
SQL注入基础知识
SQL注入概念数据库基本概念相关术语数据数据是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。它是可识别的、抽象的符号。具体见百度百科数据库数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在计算机内的、有组织的、可共享的、统一管理的大量数据的集合。常见的数据库有:Access、MSSQL、Oracle、 SQLITE、 MySQL等具体见百度百科数据库管理系统数据库管理系统(Database原创 2021-11-11 11:19:37 · 1172 阅读 · 0 评论 -
基础入门-系统及数据库
前言除去前面写到过的搭建平台中间件,网站源码外,容易受到攻击的还有操作系统,数据库,第三方软件平台等,其中此类攻击也能直接影响到WEB或服务器的安全,导致网站或服务器权限的获取知识点操作系统层面背景windows、linux三个点:系统层面的漏洞/识别/漏洞的类型(像ddos漏洞,就不需要太注意,我们需要注意能获取权限的哪些漏洞。)基于操作系统扫描测试------Nessus OPenvas Goby识别操作系统常见方法对方有网站通过网站识别,没网站通过扫描工具进行扫描(1)改原创 2021-11-11 11:18:29 · 4237 阅读 · 0 评论 -
基础入门-web源码拓展
基础入门-web源码拓展前言web源码在安全测试中是非常重要的信息来源,可以用来代码审计漏洞也可以用来做信息突破口,其中WEB源码有很多技术需要简明分析。比如:获取ASP源码后可以采用默认数据库下载为突破,获取某其他脚本源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为后期的安全测试提供了更多的思路关于WEB源码目录结构注:这里以“BEESCMS企业网站管理系统”的源码为例得到账号、密码,连接对方的数据库,从数据库汇总得到后台的账号、密码,然后登录对方的后台原创 2021-11-11 11:16:18 · 730 阅读 · 0 评论 -
HTTP系列-HTTPS篇
本篇目录通过阅读本篇文章你可以学习到:HTTPS概念相比于HTTP的优势/为什么需要HTTPSHTTP与HTTPS的区别具体解决方式SSL/TLS为何不是所有网站都用HTTPS1. HTTPS概念HTTPS它并非是一种新的协议,只是通信接口部分用SSL或者TLS协议替代(在HTTP和TCP之间建立中间层)。换句话说HTTPS其实就是身披SSL协议这层外壳的HTTP。可以理解为:HTTPS = HTTP + SSL/TLS2. 相比于HTTP的优势/为什么需要HTTPS其实也原创 2021-11-01 17:57:40 · 265 阅读 · 0 评论 -
HTTP系列-报文篇
1. HTTP报文概念概念:是HTTP通信中的基本单位,由8位组字节流组成。2. HTTP报文整体结构整体结构:报文首部 + 空行 + 报文实体有些地方会写为(这样也可以):起始行 + 首部字段 + 空行 + 报文实体(首部也就是头部)另外对于请求报文和响应报文,它们主要是报文首部不同:请求报文:真实例子:响应报文:真实例子:3. HTTP报文组成上面????介绍了一下HTTP报文的整体结构,这里主要是做一下细分。HTTP报文的整体是:报文首部 + 空行 + 报文实体不过原创 2021-11-01 17:57:09 · 1358 阅读 · 0 评论 -
HTTP系列-Cookie篇
本篇目录通过阅读本篇文章你可以学习到:Cookie概念产生原因关于Cookie的首部字段交互流程生命周期作用域安全性实际的用处缺点1. Cookie概念概念:通过在请求和响应报文中写入Cookie信息来控制客户端的状态,解决HTTP无状态的问题,本质就是存储在浏览器上一个很小的文本文件(也可能存在本地文件里)2. 产生原因HTTP是一种无状态协议,没法保存之前请求响应的上下文信息,但是对于一些场景来说需要用到之前的状态,所以为了解决这个问题产生了Cookie。但是它并不是为了原创 2021-11-01 17:56:35 · 1104 阅读 · 0 评论 -
HTTP系列-基础篇
1. HTTP概述HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法,它是一个基于 TCP/IP 通信协议来传输数据的应用层协议。要注意的点就是:一句话概述HTTPHTTP经典的几个版本HTTP存在的位置1.1 一句话概述HTTP【面试时问起:一句话概述HTTP协议】????????????????HTTP 是一个在计算机世界里专门在两点之间传输原创 2021-11-01 17:56:05 · 522 阅读 · 0 评论 -
基础入门-数据包扩展
基础入门-数据包扩展网站解析对应简要网站搭建过程涉及到的攻击层面源码、搭建平台、系统、网络层等涉及到的安全问题目录、敏感文件、弱口令、IP及域名等HTTP/S数据包浏览器直接访问服务器Request请求数据包• 请求行:请求类型/请求资源路径、协议的版本和类型• 请求头:一些键值对,浏览器与web服务器之间都可以发送,特定的某种含义• 空行:请求头与请求体之间用一个空行隔开• 请求体:要发送的数据(一般post提交会使用), 例user=123&pass原创 2021-11-01 17:55:32 · 128 阅读 · 0 评论 -
基础入门-概念名词
基础入门-概念名词域名什么是域名?域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。比如www.baidu.com,原创 2021-11-01 17:54:48 · 307 阅读 · 0 评论 -
OWASP TOP 10简单介绍2017版
# TOP1-注入当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入漏洞,例如SQL,NoSQL,OS,LDAP注入(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。危害如下:注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注入漏洞有时甚至可导致完全接管主机。如何防范:使用安全的API,避免使用解释器对输入的特殊的字符进行ESCAPE转义处理。例如:LIKE原创 2021-10-11 14:40:28 · 228 阅读 · 0 评论 -
Web基础知识之Web组件
## Web组件Web组件(英语:Web Components)是W3C正在向HTML和DOM规范添加的一套功能,它允许在Web文档和Web应用程序中创建可重用的小部件或组件。这样做的目的是将基于组件的软件工程引入万维网。组件模型将允许单个HTML元素的封装和互操作性。Web组件的分类Web组件由四大部分组成,可单独或组合使用。自定义元素 - 定义新HTML元素的API影子DOM - 封装的DOM和样式,配以组合化HTML导入 - 将HTML文档导入其他文档的声明方法HTML模板 -<原创 2021-10-11 14:39:19 · 862 阅读 · 0 评论 -
Web基础知识之TCP_IP协议
TCP/IP协议计算机网络体系结构分层不难看出,TCP/IP 与 OSI 在分层模块上稍有区别。OSI 参考模型注重“通信协议必要的功能是什么”,而 TCP/IP 则更强调“在计算机上实现协议应该开发哪种程序”。TCP/IP 基础TCP/IP 的具体含义从字面意义上讲,有人可能会认为 TCP/IP 是指 TCP 和 IP 两种协议。实际生活当中有时也确实就是指这两种协议。然而在很多情况下,它只是利用 IP 进行通信时所必须用到的协议群的统称。具体来说,IP 或 ICMP.原创 2021-10-11 14:38:53 · 852 阅读 · 0 评论 -
Web基础知识之HTTP协议
HTTP协议HTTP协议概述计算机网络体系结构分层TCP/IP 通信传输流利用 TCP/IP 协议族进行网络通信时,会通过分层顺序与对方进行通信。发送端从应用层往下走,接收端则从链路层往上走。如下:TCP/IP 通信传输流首先作为发送端的客户端在应用层(HTTP 协议)发出一个想看某个 Web 页面的 HTTP 请求。接着,为了传输方便,在传输层(TCP 协议)把从应用层处收到的数据(HTTP 请求报文)进行分割,并在各个报文上打上标记序号及端口号后转发给网.原创 2021-10-11 14:38:11 · 1962 阅读 · 0 评论