渗透测试
文章平均质量分 81
粥粥粥少女的拧发条鸟
谈论现实
展开
-
【Burp Suite实战指南】【定期更新】
目录写在前面的话使用Burp Suite的小技巧一.Proxy模块:截取消息1.Intercept选项卡 :拦截请求1.1)消息分析选项视图2.http history选项卡:记录历史请求消息和响应内容2.1)筛选过滤器:过滤不符合规则的历史消息2.2)历史记录列表:记录了每一条请求消息和响应消息2.3)消息详情:查看具体消息的内容3.WebSocket History选项卡:是HTTP历史的一个分支4.option 选项卡:对请求消息进行控制和处理4.1)Proxy Listeners:对截取数据流量的监原创 2022-01-23 15:38:12 · 6775 阅读 · 0 评论 -
【XCTF 攻防世界 web 练习详解系列(二)】【get_post的两种解法】
目录get_post题目链接题目描述知识点HTTP中GET、POST用法以及它们的区别工具的使用题解方法1方法2get_post题目链接题目描述X老师告诉小宁同学HTTP通常使用两种请求方法,你知道是哪两种吗?知识点HTTP中GET、POST用法以及它们的区别HTTP定义了与服务器交互的不同方法,最基本的方法有4种,分别是GET,POST,PUT,DELETE。URL全称是资源描述符。我们可以这样认为: 一个URL地址,它用于描述一个网络上的资源,而HTTP中的GET,POST,PUT,D原创 2022-01-21 21:34:18 · 945 阅读 · 4 评论 -
【XCTF 攻防世界 web 练习详解系列(一)】【view_source的三种解法】
目录view_source题目链接题目描述知识点如何让右键有效——禁用javascript?开发者工具的使用题解方法1方法2方法3view_source题目链接题目描述X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。知识点如何让右键有效——禁用javascript?按右键之所以没反应是因为未禁用javascript。我们在浏览网页时经常会遇到满屏幕的嵌入广告或弹出广告,这些广告大多是通过JavaScript脚本语言实现的,我们可以在浏览器中通过禁用JavaScri原创 2022-01-21 20:46:24 · 1587 阅读 · 0 评论 -
【蚁剑的安装与使用+例题实战】【CTF】webshell
蚁剑(AntSword)是什么?中国蚁剑是一款开源的跨平台网站管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。获取蚁剑环境:win10文件:如下图所示(第一个是蚁剑的加载器,第二个是蚁剑的源码,二者缺一不可)蚁剑下载器下载器获取地址:https://github.com/AntSwordProject/AntSword-Loader根据你的环境下载对应的安装包。蚁剑源码点击下载蚁剑源码(源码与环境无关,大家可以直接下载)安装把两个包放在一个文件夹下(原创 2022-01-20 11:03:25 · 3714 阅读 · 0 评论 -
【解决】“burpsuite”工具启用代理时出现【您的连接不是私密连接】
目录问题原因解决方案1、进入http://burp下载证书2、Burp Suite上导入证书3、在浏览器导入证书ChromeFirefox效果问题当我们打开代理并且打开Burp Suite时,去打开https://www.baidu.com/s时会出现以下错误。原因在没有下载Burp Suite证书时,是无法抓取https的包的,就例如https://www.baidu.com/s。解决方案1、进入http://burp下载证书打开了127.0.0.1:8080代理,让Burp Suite能原创 2022-01-18 10:35:56 · 8854 阅读 · 1 评论 -
【Proxy SwitchyOmega】Chrome安装插件【提示程序包无效:“CRX_HEADER_INVALID“】【解决方法】
问题Proxy SwitchyOmega 插件下载地址:https://github.com/FelisCatus/SwitchyOmega/releases下最新的版本。在谷歌浏览器输入chrome://extensions/,打开了“”发开者模式”把下载好的SwitchyOmega_Chromium.crx插件直接拖到浏览器左上角提示:程序包无效:“CRX_HEADER_INVALID”解决办法1、双击“此电脑”——点击左上角的“查看”——点击靠边的“选项”——点击文件夹选项中的“查原创 2022-01-17 20:11:19 · 6095 阅读 · 1 评论 -
【渗透测试】XSS注入原理
XSS注入原理XSS 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是一种在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到 web 网站里面,供给其它用户访问,当用户访问到有恶意代码的网页就会产生 XSS 攻击。XSS是因为用户输入的内容被浏览器当作了前端代码进行执行。<script>alert(/XSS/)</script><script&原创 2022-01-15 19:15:23 · 3085 阅读 · 1 评论 -
【渗透测试】cookie注入笔记
目录什么是cookie?什么是cookie注入?Cookie手注流程一、判断注入点二、判断字段数三、判断回显点四、查询相关内容补充答疑1.为什么是select 1,2 不是 select 1,2,3?2.你咋判断一定是md5?3.如何排查网站有cookie注入漏洞的?4.我都是先学工具后补知识?5.挖洞的话,可以用工具扫吗?6.access 语法比较严谨,那怎么得到他的库名和表名?常见的表名与表项什么是cookie?Cookie = 网站身份指某些网站为了辨别用户身份,进行 session 跟踪而原创 2022-01-12 09:34:29 · 2123 阅读 · 0 评论 -
【渗透测试】SQL注入笔记
SQL注入原理用户输入的内容被浏览器当做数据库语句进行执行。两个关键条件1、输入的内容一定要是数据库语句。2、输入的内容当做数据库语句进行执行。特点:用户输入的内容就是我们输入的内容。输入位置1.网站给我们提供的搜索框。2.网址的参数的值。总结我们输入的【数据库语句】,如果被网站执行了,就说明这个网站存在数据库注入漏洞。比如说,我们输入的[login],被网站执行了,带到他的数据库进行查询,并将查询的结果显示到了页面上。数据库查询语法Select ··· from ··· wher原创 2022-01-11 11:21:57 · 1535 阅读 · 1 评论