- 博客(17)
- 收藏
- 关注
RSS订阅原创 命令注入漏洞
命令注入攻击(即Command Injection)是web应用程序对用户的输入提交的数据过滤不严格,导致攻击者构造恶意的特殊命令字符串的方式将数据提交到web应用程序中,从而执行外部程序或系统命令来进行攻击,非法获取目标服务器的数据资源。继承Web服务器程序(web用户)权限,去执行系统命令继承Web服务器权限,读写文件反弹Shell控制整个网站控制整个服务器测试IP地址:8.8.8.8(返回ping的结果)自己本机地址也是一样的。
2023-04-23 20:51:41
1355
原创 Web安全——文件包含漏洞
文件包含漏洞是“代码注入”的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。“代码注入”的典型代表就是文件包含。文件包含漏洞可能出现在JSP、PHP、ASP等语言中,原理都是一样的。在PHP中,有四个用于包含文件的函数,当使用这些函数包含文件时,文件中包含的PHP代码会被执行。本地文件包含LFI(Local File Inclusion)当被包含的文件在服务器本地时,就形成本地文件包含。
2023-04-22 22:14:13
1066
原创 文件上传攻击
文件上传攻击实质上就是拿下网站的控制权,户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向上上传可执行的动态脚本文件。在我们的日常生活中经常会遇到,例如,我们在上传文件时,后台服务器对其文件检测不严时,通过修改后缀名进行执行木马病毒。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。WebSell:以ASP、PHP、JSP等网页文件形式存在的一种命令执行环境,也叫网页后门。
2023-04-20 22:30:43
1568
1
原创 XSS攻击实战
XSS攻击全程跨站脚本攻击。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。与SQL注入类似,XSS也是利用提交恶意信息来实现攻击,但是XSS一般提交的是JavaScript脚本,运行在Web端,就是用户的浏览器。SQL注入提交的SQL命令在后台的数据库服务器执行。
2023-04-18 23:07:27
2406
原创 SQL注入实战
所谓的SQL注入,就是通过把恶意的sql命令插入web表单递交给服务器,或者输入域名或页面请求的查询字符串递交到服务器,达到欺骗服务器,让服务器执行这些恶意的sql命令,从而让攻击者,可以绕过一些机制,达到直接访问数据库的一种攻击手段,而不是按照设计者意图去执行SQL语句。
2023-04-17 22:53:49
1802
原创 Nmap的基本使用
nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是必用的软件之一,以及用以评估网络。正如大多数被用于网络安全的工具,nmap 也是不少黑客及骇客(又称)爱用的工具。可以利用nmap来探测工作环境中未经批准使用的服务器,但是黑客会利用nmap来搜集目标电脑的网络设定,从而计划攻击的方法。Nmap 常被跟评估系统漏洞软件混为一谈。Nmap 以隐秘的手法,避开闯入。
2023-04-15 11:49:38
2154
1
原创 Linux---磁盘管理
前言在前一节中,我们学习了用户和用户组之间的关系,这让我们对linux管理更加得心应手。在这一节中,我们学习Linux的磁盘管理,linux中的磁盘管理和Windows的磁盘管理是有差别的,是采用命令行界面,我会用三小节分别对磁盘分区,建立软硬盘(RAID)、以及逻辑卷进行详细的系统的学习。...
2021-11-22 23:28:52
473
1
原创 Linux——用户和用户组的管理
目录前言用户和用户组的关系用户新建用户修改用户设置用户账户口令删除用户用户组创建用户组修改用户组组群添加用户删除用户组总结前言学习完了前面的基本命令,小伙伴们是否已经掌握了呢,在这一章中,我们开始学习用户和用户组的基本管理!用户和用户组的关系用户和用户组的对应关系有以下 4 种:一对一:一个用户可以存在一个组中,是组中的唯一成员; 一对多:一个用户可以存在多个用户组中,此用户具有这多个组的共同权限; 多对一...
2021-11-20 20:50:57
5293
原创 linux基本命令(二)
前言在上一节中,我们学习了执行帮助命令、常用系统的命令、系统检测状态命令,在一节中,我们将要学习工作目录切换命令、文本文件编辑命令、文件目录管理命令、打包压缩与搜索命令。工作目录切换命令pwdpwd 用于显示用户当前所处的工作目录语法格式:pwdcdcd 用于切换路径语法格式:cdcd .. #返回上级目录cd~ #切换到当前用户的家目录lsls 显示目录中的文件信息语法格式:ls [选项] [文件]...
2021-11-11 17:41:34
787
2
原创 ENSP实验——Telnet远程连接
原理概述:Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。Telnet通常用在远程登录应用,方便对本地或远端运行的网络设备进行配置、监控、维护。如网络中有许多设备需要配置,用户只需为每一台设备连接一个用户终端进行配置,可以通过Telnet方式对多台设备进行管理和设置。也可以通过Telnet方式实现网络设备的远程维护,提高了用户操作的灵活性。实验目的:理解telnet的应用场景 掌握tele
2021-11-05 23:09:31
11714
原创 如何使用ENSP
一.ENSP是什么? ENSP(Enterprise Network Simulation Platform)是一款由华为提供的、可扩展的、图形化操作的网络仿真工具平台,主要对企业网络路由器、交换机进行软件仿真,完美呈现真实设备实景,支持大型网络模拟,让广大用户有机会在没有真实设备的情况下能够模拟演练,学习网络技术。二.ENSP的特点高度仿真 可模拟华为AR路由器、x7系列交换机的大部分特性。 可模拟PC终端、Hub、云、帧中继交换机等。 仿真设备配置功...
2021-11-02 18:03:38
6386
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人