![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
工具部分
秋水sir
这个作者很懒,什么都没留下…
展开
-
Burpsite的简单使用
Burp的简单使用安装部分不在描述,下载专业版模块的详细介绍请参考文章:https://www.cnblogs.com/ichunqiu/p/7234655.html在这里我只列出初级阶段比较常用的模块Proxy代理模块Proxy模块下属四个小模块Intercept: 拦截数据包的一个功能 HTTP histiory:http 历史,即是所有数据包的一个历史记录 ...原创 2019-10-05 01:25:36 · 3090 阅读 · 0 评论 -
MSF的密码爆破模块
密码生成工具genpAss一句话介绍这个工具就是:中国特色的弱密码生成器下载地址:https://github.com/RicterZ/genpAss密码泄露查询:https://monitor.firefox.com/https://haveibeenpwned.com/指令-n #名字-u #用户名-q #QQ号...原创 2019-10-10 20:23:23 · 2149 阅读 · 0 评论 -
记一次失败的PentestBox的MSF更新
首先你要看一下自己的源gem sources -l 亲身体会,gem的源可以不更换当然你也可以试试,也许只是我出现了这个问题gem sources -r https://rubygems.org/ ##移除默认源gem sources -a http://rubygems.org/ ##新增源gem sources --add http://rubygem...原创 2019-10-10 23:56:14 · 1910 阅读 · 0 评论 -
CVE-2019-0708复现尝试
写在开始:这是我这个笔记写的最后一句话,我花了两天,主要是告诉大家,莫慌慌我试了好多都没成功简介这个时候写,其实已经很晚了,主要是学到了msf,正好拿这个说一下吧目前法出的exp版本依然是针对win7 sp1和2008R2,其他的应该是无效的0x00 环境搭建靶机:win7旗舰版sp1-->>ip:192.168.1.120攻击机:kali 2019....原创 2019-10-10 01:19:54 · 534 阅读 · 0 评论 -
MSF的简单使用
MSF简介背景Metasploit Framework最初是 HD Moore 个人的想法,当时他在一家安全公司工作,他于2003年10月发布了第一个基于Perl的Metasploit版本,一开始只有共11个漏洞利用程序。后来随着Spoonm帮助和加入,HD发布于2004年4月重写了该项目并发布了Metasploit2.0。此版本包括19个漏洞和超过27个payload。在这个版本之发布...原创 2019-10-09 16:59:37 · 2798 阅读 · 0 评论 -
EtterCap工具的使用
EtterCap简介什么事ARP欺骗?ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上,尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。因此攻击者可将这些流量另行转送到真正的网关(被动式数据包嗅探,passive sniffing)或是篡改后再转送(中间人攻击,man-in-the-middle attack)。攻击者亦可将ARP数据包导到不存...原创 2019-10-08 22:51:35 · 2021 阅读 · 0 评论 -
Namp的简单使用
怎么安装就不再多说了,百度安装windows版的也行直接使用linux里面的也行Nmap简介Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络,当然用它扫描单个主机也没有问题Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机,那些主机提供什么服务(应用程序名和版本),那些服务运行在什么...原创 2019-10-06 22:02:38 · 818 阅读 · 0 评论 -
信息搜集工具使用
首先说明一下,本章节介绍的工具都很简单layer子域名收集工具如果要使用自定义字典,请把字典文件命名为dic,放到跟程序同目录下,程序会自动加载字典。如果没有自定义字典,程序会自动使用内置字典,内置字典总共两万多条数据,内容包括了常用子域名,以及3000+常用单词和1-3位所有字母。如果要爆破二级以下域名,可以直接填入要爆破的子域名,程序会自动拼接下一级子域。比如填入hi.bai...原创 2019-10-06 18:19:06 · 1244 阅读 · 0 评论 -
Xray扫描器
简介xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具,支持功能如下独立的 URL 扫描 基于 HTTP 的被动代理扫描,同时支持HTTPS SQL注入检测模块 命令注入检测模块 任意重定向检测模块 路径遍历模块Xray扫描器内置插件XSS漏洞检测 (key: xss):利用语义分析的方式检测XSS漏洞 SQL 注入检测 (key: sqldet...原创 2019-10-06 16:53:19 · 34482 阅读 · 0 评论 -
Appscan的安装和使用
工具简介IBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界,Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffe...原创 2019-10-06 15:19:43 · 5775 阅读 · 0 评论 -
Fiddler下载和简单使用
Fiddler简介Fiddler是一个http协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的http通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件,甚至这些数据都可以任由你修改)。 Fiddler 要比其他的网络调试器要更加简单,它不仅仅暴露http通讯还提供了一个用户友好的格式工作原理Fiddler是位于客户端...原创 2019-10-06 00:19:49 · 1174 阅读 · 0 评论 -
Nessus的安装和使用
简介Nessus号称是世界上最流行的漏洞扫描程序,全世界有超过75000个组织在使用它。该工具提供完整的电脑漏洞扫描服务,并随时更新其漏洞数据库。Nessus不同于传统的漏洞扫描软件,Nessus可同时在本机或远端上遥控,进行系统的漏洞分析扫描。对应渗透测试人员来说,Nessus是必不可少的工具之一Nessus不仅可以扫描网站,还可以扫描主机。它由一个执行任务的服务端,和一个分配任务...原创 2019-10-05 22:06:33 · 1874 阅读 · 0 评论 -
AWVS的安装和使用(linux)
个人不太喜欢windows版的,这里页只介绍Linux版的安装下载首先说明:支持正版下载地址:https://pan.baidu.com/s/1D7eb2mQSuL26VvlRKbUtHQ提取码:dwes下载完成之后,把安装包拷贝到或者上传到linux服务器安装前步骤对文件进行解压可参考:https://blog.csdn.net/u013381011/...原创 2019-10-05 12:06:50 · 16412 阅读 · 0 评论 -
sqlmap安装和使用
原创 2019-10-05 01:22:39 · 1041 阅读 · 0 评论 -
web管理工具篇
中国菜刀下载链接:https://pan.baidu.com/s/1sR7xSsixIjOSQxJNCAdc_Q提取码:h8al打开才到页面如下首先,我在本地写了个一句话木马<?php@eval($_REQUEST['a']);?>连接一句话木马步骤右键-->添加,如下图a是我们一句话的密码连接成功如下图:...原创 2019-10-04 01:13:24 · 1077 阅读 · 0 评论 -
Metasploit Framework(MSF)的使用
MetasploitMetasploit Framework(MSF)是一款开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程,被安全社区冠以“可以黑掉整个宇宙”之名。刚开始的Metasploit是采用Perl语言编写的,但是再后来的新版中,改成了用Ruby语言编写的了。在kali中,自带了Metaspl...转载 2019-10-10 23:46:15 · 3171 阅读 · 0 评论