![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
kali web 渗透
文章平均质量分 58
0x717866
来自成都的一枚白帽子。
展开
-
MongoDB无授权访问数据库
MongoDB介绍MongoDB数据库是基于分布式存储的数据库,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。漏洞发现过程使用扫描器发现某网站具有此漏洞,开始验证漏洞。攻击过程使用msf,需要设置rhost和threads。rhost目标ip地址t原创 2021-10-11 17:35:28 · 13343 阅读 · 1 评论 -
DVWA 命令执行
原理命令执行漏洞是通过符号连接两个命令,在操作系统中连续执行命令, & 、&& 、| 、 || 都可以作为命令连接符使用,此漏洞可以注入命令开启后门。如:&java -jar test.jar > log.txt & #后台执行任务&&ping 127.0.0.1 && ls #前一条命令执行成功时,才执行后一条命令|ps -aux |grep python #原创 2021-09-07 14:35:09 · 26788 阅读 · 4 评论 -
kali对未知web server透测试4
环境主机ipkaliLinux192.168.101.62(桥接)靶机-4未知打开靶机渗透测试主机探测netdiscover -i eth1 -r 192.168.101.0/24 可以看到靶机地址为192.168.101.75收集信息使用dirb目录爆破漏洞扫描nikto -host http://192.168.101.75 访问web界面这里可以看到phpadmin版本尝试弱密码登录尝试发现admin+空密码登录原创 2021-08-04 15:08:26 · 10412 阅读 · 0 评论 -
kali对未知web server透测试1
1.打开靶机原创 2021-07-21 15:17:12 · 42477 阅读 · 2 评论 -
kali对未知web server透测试2
环境介绍主机IP(NAT)kali192.168.252.128靶机2未知靶机下载:https://pan.baidu.com/s/1u5xbmU13wheXE4_M508qFw提取码:1234打开靶机主机探测NAT网卡位于192.168.252.0/24网段进行主机探测netdiscover -i eth0 -r 192.168.252.0/24信息收集访问web界面没有发现可疑渗透点,这里使用目录爆破,看一下有没有隐藏界面。 d原创 2021-07-23 13:51:15 · 42132 阅读 · 2 评论