- 博客(13)
- 收藏
- 关注
RSS订阅原创 1、性能需求调研
性能需求调研确认系统用户数、在线用户数、并发用户数(来源于需求预估或者线上已有的监控在线人数等)确认压测业务:业务的压测点、并发用户数、响应时间[90%]、每秒事务数[TPS]、确认压测业务关联的数据量,是否需要进行铺底数据,预估系统支持几年的业务、每年业务的增长率多少,计算压测时需要的铺底数据确认压测环境的架构、服务、服务器配置确认是否有缓存机制,缓存机制与压测业务之间的联系确认压测的工具:jmeter、loadrunner确认压测的监控工具,监控指标:cpu、内存、io、磁盘、网络确认
2021-07-20 19:50:51
210
原创 PHPMYADMIN渗透总结
phpmyadmin介绍phpmyadmin是一个以php为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可以使用Web接口管理MySQL数据库。借由次Web接口可以成为一个简单方式输入SQL语法的较佳途径。其优势就是可以通过Web界面来远程管理方便建立、修改、删除数据库及资料表phpmyadmin安全测试流程:确认phpmyadmin的后台确定版本,信息搜集漏洞利用实例1 WooYun-2016-199433 -phpmyadmin-反序列化-getsh
2021-02-15 12:12:15
1204
原创 文件包含漏洞
文件包含漏洞实例骑士CMS文件包含漏洞下载地址:http://www.74cms.com/download/index.html注意:骑士cms不支持php7.x,复现php环境为php5.x即可版本低于6.0.48模版写入文件http://10.211.55.9/74cms_Home_Setup_v6.0.20/index.php?m=home&a=assign_resume_tplPOST:variable=1&tpl=<?php fputs(fopen(
2021-02-12 20:53:23
221
原创 fofa使用
1. 介绍 FOFA是一款网络空间搜索引擎,它通过进行网络空间测绘,帮助研究人员或者企业迅速进行网络资产匹配,例如进行漏洞影响范围分析、应用分布统计、应用流行度等。官网链接:https://fofa.so/2. 用法介绍对于普通注册用户和高级会员来说,无api可以直接调用只能自己写脚本去做安装fofa插件,可以获取当前ip的信息3. 界面介绍用法介绍:https://www.yuque.com/u938700/zwnopp(详细版本)title=“beijing”从标题中
2021-02-10 17:31:37
4494
原创 xray使用1
xray特性检测速度快。发包速度快; 漏洞检测算法高效。支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。漏洞检测类型XS
2021-01-17 19:33:27
757
1
原创 文件下载漏洞
任意文件下载漏洞download.php?path=download.php?file=down.php?file=data.php?file=readfile.php?file=read.php?filename= 谷歌语法:inurl : readfile.php?file=inurl : download.php?file=可能有的点:&readpath=&filepath=&Path=&inputfile=&url=&
2021-01-11 10:38:29
614
原创 验证码漏洞-工具pkavhttpfuzzer
一、环境准备1.搭环境wms将phpwms1.1.2GBK文件放在phpstady下,点击安装创建下一步即可(phpstady版本为5.2.17)2.拿到验证码的请求就接口3.通过burpsuite抓包登陆请求二、使用pkavhttpfuzzer1.使用管理员身份打开2.在目标数据下放入登陆接口,将密码添加标记,验证码添加验证码标记3.在图片性验证码识别页面,输入验证码加载的接口,可点击识别测试进行测试4.1重放选项页面,选择302重定向4.2匹配规则和重试规则点击添加5.变体设置,
2021-01-02 19:53:37
3301
原创 搭建phpstudy+pikachu环境进行CSRF注入
1.搭建phpstudy+pikachu环境点击其他选项,选择网站根目录,打开根目录将pikachu的文件放置此目录2.修改pikachu文件下的inc下的config文件的数据库密码3.启动pikachu环境:http://127.0.0.1/pikachu/初始化数据库库后,打开CSRF输入用户名密码:allen/1234564.使用hackbar进行get注入5.使用hackbar进行post注入...
2020-12-28 23:13:02
723
原创 搭建xss平台blue-lotus进行xss注入
1.phpstady 环境下搭建blue2.打开地址,点击安装:http://127.0.0.1/blue3.修改密码后,点击提交4.安装成功,点击登陆5.输入密码登陆6.登陆成功,点击我的js,选择默认模版修改默认网站地址,点击插入模版,点击保存7.点击payload生成8.在搭建的dvwa平台插入9.在blue平台的接收面板获取到cookie...
2020-12-22 22:22:28
918
原创 Hfish环境搭建
1.下载hfish:https://github.com/xaverdh/hfish2.解压后打开文件路径下打开cmd,输入HFish.exe run 3.运行成功4.在本地打开管理台:http://127.0.0.1:9001用户名:admin密码:admin5.登录后台成功6.打开前台钓鱼网站:http://127.0.0.1:9000...
2020-12-20 16:46:05
925
原创 xss漏洞注入
定义:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作
2020-12-20 13:29:26
2954
原创 phpstudy+dvwa环境搭建
1.下载avwa1.1下载地址:http://www.dvwa.co.uk/1.2解压后打开config文件夹,将config.inc.php.dist复制后修改去除.dist后缀1.3修改config文件将db_user和db_password修改为root,点击保存2.安装phpstudy2.1下载phpstudy20182.2安装目录2.3点击phpstudy应用程序打开2.4点击其他选项菜单,选择网站根目录2.5.将下载修改的dvwa修改为d放到跟目录下2.6点击
2020-12-14 11:33:57
1229
原创 burpsuite安装
1.安装jdk1.8版本2.安装bp2.1点击run2.2将lincense的内容粘贴到burpsuite框下,点击next2.3点击manual activation2.4将manual activation的第二步粘贴到activation request后,activation response出现内容,将内容粘贴到manual activation的第三步,点击next2.5点击fish2.6点击next2.7点击start burp2.8开启bp...
2020-12-14 10:28:42
161
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人