渗透学习笔记
文章平均质量分 73
一些自己学习过程的笔记和学习感悟。
star-R
编程、网络小学生
展开
-
sqlmap的--os-shell
(1)、询问你是否需要sqlmap去尝试网站的绝对路径,一般是尝试一些常用的绝对路径,如:'C:/xampp/htdocs/, C:/wamp/www/, C:/Inetpub/wwwroot/'等,我们使用的是靶场,他爆破不到,所以选择n;利用into outfile 向指定的网站的物理路径写入一个木马文件,该木马文件的编写语言为该网站的编程语言,这个木马文件的主要作用是可以上传一个用于执行命令的木马,并且对用于执行命令的木马进行赋权,使其具有读写执行权限;(2)、已知网站的物理路径;原创 2023-01-15 14:52:39 · 2487 阅读 · 0 评论 -
cmd常用命令讲解
cmd常用命令,Windows 命令提示符(即 cmd)是 Windows 系统的一种命令行操作工具,用户可以通过输入命令来完成各种各样的系统或程序操作。虽然很多操作都可以通过图形程序完成,但也有非他不可的情况存在。因此了解一些日常可能用到的简单操作也是很必要的。原创 2022-12-25 12:59:35 · 21901 阅读 · 1 评论 -
MSF即Metasploit的基本使用
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它是由Ruby程序语言编写的模板化框架,具有很好的扩展性,便于渗透测试人员开发、使用定制的工具模板。check ---检查目标是否真的存在这个漏洞。主要负责执行信息收集、扫描、嗅探、指纹识别、口令猜测和 Dos 攻击等功能;user ---使用模块。show options ---显示要配置的参数。原创 2022-12-02 18:16:45 · 647 阅读 · 0 评论 -
CSRF-知识点详细讲解
利用受害者没有失效的身份认证信息,诱骗受害者点击恶意链接,访问包含攻击代码的页面,在受害者不知情的情况下,以受害者的身份向服务器发送请求,服务器认为是受害者本人发出的请求,从而予以响应,完成非法操作。原创 2022-12-02 16:40:28 · 388 阅读 · 0 评论 -
CTFHub-Web-RCE-文件包含
文件包含,伪协议原创 2022-11-29 19:16:31 · 902 阅读 · 0 评论 -
CTFHub-Web-RCE-eval执行
eval ()是一个危险的函数,它使用与调用者相同的权限执行代码。如果你用eval() 运行的字符串代码被恶意方 (不怀好意的人) 修改,您最终可能会在您的网页/扩展程序的权限下,在用户计算机上运行恶意代码。原创 2022-11-29 18:17:58 · 883 阅读 · 0 评论 -
CTFHub-Web-RCE-命令注入
1、常见的拼接符1、A;B 先执行A,再执行B2、A & B 简单的拼接3、A | B 显示B的执行结果4、A&&B A执行成功之后才会执行B5、A || B A执行失败之后才会执行B, 在特殊情况下可代替空格2、常见的命令1.type 显示文本文件内容type x:\1.txt //显示x盘下的1.txt文件内容。原创 2022-11-29 15:56:13 · 1961 阅读 · 0 评论 -
CTFHub-Web-文件上传
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能;前端会验证,只能上传图片中列出的类型将文件名后缀含有的这些全部替换为空。原创 2022-11-29 13:21:10 · 2807 阅读 · 0 评论 -
CTFHub-Web-反射型XSS
CTFHub-Web-反射型XSSXSS平台原创 2022-11-28 21:40:56 · 467 阅读 · 1 评论 -
CTFHub技能树-Web-SQL注入
CTFHub技能树-Web-SQL注入cookie注入、UA注入、refer注入原创 2022-11-28 16:39:43 · 309 阅读 · 0 评论 -
CTFHub-Web-HTTP协议
CTFHub-Web-Web前置技能-HTTP协议请求方式、302重定向、cookie、基础认证原创 2022-11-21 12:30:25 · 1548 阅读 · 0 评论