渗透测试第一节

最新推荐文章于 2023-03-23 14:47:51 发布
最新推荐文章于 2023-03-23 14:47:51 发布
阅读量560 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sxyzwq/article/details/42806193
版权

  @渗透测试是一种合法且授权定位的计算机系统,并对其成功实施漏洞攻击,其目的是为了证明这些系统更安全,测试过车包括漏洞探测和提供证明,最后给成修补意见

渗透测试;又称道德黑客,白帽黑客,渗透测试最终目的是控制目标主机获得管理权限

漏洞利用是获得权限的过程


信息收集:httrack

./theharvester -d  域名 -l 10 -b google  -d 用来指定域名  -l 用来限制返回的电子邮件数量  -d 是用来指定知识库的(Google ,bing ,pgp)

whois  host 

nslookup

server ip 

set type=any

dig@

域名

扫描:

1,fping  -a -g  ip >host。txt  a确定活跃 的目标  g是范围

每台计算机上有65536个端口 ,端口是基于tcp,udp的,这依赖于端口的上的运行服务,

端口扫描工具:nmap -sT -p -PN IP 地址基础扫描TCP

常用扫描  :nmap  -sS -p -PN ip   更快 ,更安全SYS

不容掉的扫描:nmap -sU ip 在后面添加sv udp 扫描  用户数据报协议

nmap -sX -p -  -PN ip  扫描xmax   

 还有空null扫描和xmas扫描在windows系统下不起作用,尽可能每次扫描都带上 -sV  ,-O  SV防止管理修改成虚拟的端口号,-O是可以扫描出操作系统

2,漏洞扫描 nessus


漏洞利用:

1,远程暴力登陆目标主机获得远程服务的权限  medusa -h ip  -u 用户名  用户列表 (大写U) -p  密码(P 密码文件包) -M 用来攻击的服务

2,metasploit 值最出色的黑客攻击程序了,最初metasploit是款网络游戏之后转型成为漏洞攻击程序,msfconsole 

msf>search 漏洞名称  搜索漏洞对应的攻击程序

msf> use 攻击程序  选择攻击程序

msf>show  payload   显示可用的攻击载荷

msf >set  选择攻击载荷

msf>show options  显示攻击目标需要做的设置

msf> set  rhost  ip  目标主机   set  lhost  ip  发送攻击在载荷的主机

msf>exploit

密码破解王:jtf  ./john 密码存放路径   ./ john --test 看你的设备破解密码的速度

使用samdump2 提取散列密码

./chntpw -h  强制重置密码。不推荐,可以修改所有用户的密码

dsniff 攻击交换机软件



  



sxyzwq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于PSO-SVR的网络态势预测模型.pdf
08-14
基于PSO-SVR的网络态势预测模型 5G
第18节 渗透测试流程和简单案例
Fighting_hawk的博客
12-19 4260
本节主要围绕网络渗透流程这一主题,从概述入手介绍主要步骤,随后对每个步骤采用一个小实验进行讲解分析。
渗透测试面试题汇总(全)
热门推荐
渗透、攻防、CTF、编程
08-31 3万+
思路流程 信息收集 漏洞挖掘 漏洞利用&权限提升 清除测试数据&输出报告 复测 问题 深信服一面: SQL注入防护 为什么参数化查询可以防止sql注入 SQL头注入点 盲注是什么?怎么盲注? 宽字节注入产生原理以及根本原因 产生原理 在哪里编码 根本原因 解决办法 sql里面只有update怎么利用 sql如何写shell/单引号被过滤怎么办 代替空格的方法 mysql的网站注入,5.0以上和5.0以下有什么区别? XS
第18节 简单渗透测试流程及实验
m0_64378913的博客
01-03 2301
本文章仅供教学研究使用,切莫在真实环境中试验。本节主要围绕网络渗透流程这一主题,从概述入手介绍扫描漏洞、暴力破解、445漏洞利用之IPC$、留后门等主要步骤,随后对每个步骤采用一个小实验进行讲解分析。
黑盒渗透测试简介1
malihexiaoxiao的博客
03-23 486
渗透测试,是通过模拟恶意攻击者进行攻击,来评估系统安全的一种评估方法;我们会从攻击的角度判断软件系统是否安全。一般地,测试者会使用某些测试工具或者人工模拟攻击者的输入,找出运行时刻目标系统所存在的安全漏洞。
第22节 回顾与习题测试(大飞哥网络安全初学者课程).mp4
07-18
大飞哥网络安全第一阶段课程,适合0基础/初学者体系化学习,也适合老手巩固基础观看,希望大家在学习过程中理解技术原理,为更深层次的防御攻击等学习打好基础。最好别用mac,好多工具不兼容。
学生体质健康测试数据报告分析.docx
12-23
学生体质健康测试数据报告分析全文共5页,当前为第1页。学生体质健康测试数据报告分析全文共5页,当前为第1页。学生体质健康测试数据报告分析 学生体质健康测试数据报告分析全文共5页,当前为第1页。 学生体质健康...
网络安全培训方案(1).docx
06-09
第六节:渗透测试 第五天 系统枚举和嗅探 第一节:netbios枚举 NetBIOS枚举实验 第二节:snmp枚举 Snmp枚举实验 第三节:mac攻击 第四节:DHCP攻击 第五节:arp攻击 第六节:嗅探工具 cain工具的使用 Ettercap工具的...
网络安全培训方案(1).doc
06-09
后门程序 "后门程序实验 " " " " "第四节:文件隐藏 "文件隐藏实验 " " " " "第五节:清理痕迹 "清理痕迹实验 " " " " "第六节:渗透测试 " " "第五" "系统枚 "第一节:netbios枚举 "NetBIOS枚举实验 " "天 " "举和...
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
04-29
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
256ssm-mysql-jsp 在线捐赠系统.zip(可运行源码+数据库文件+文档)
04-29
根据需求,确定系统采用JSP技术,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了系统用户管理、注册用户管理、信息发布管理、医疗物品分类管理、项目信息管理、捐赠项目管理、志愿者申请管理、个人求助管理、个人捐赠统计、系统管理等功能。 前台用户模块包括: 1. 首页:网站打开的第一个页面,显示网站的最新信息。 2. 用户注册/登录、3. 新闻资讯、4. 暖心故事、5. 我要求助、6. 我要捐赠、7. 我们的项目、8. 志愿者中心:实现志愿者中心的列表显示、9. 系统简介、10. 在线留言、11. 用户后台 后台管理员模块包括: 1. 系统用户管理、2. 注册用户管理、3. 信息发布管理、4. 医疗物品分类管理、5. 项目信息管理、6. 捐赠项目管理、7. 志愿者申请管理、8. 个人求助管理:管理员可以设置个人求助审核状态,可以删除个人求助审核信息。 9. 个人捐赠统计:管理员可以查看个人捐赠统计信息。 10. 系统管理:管理员可以对留言板信息进行查看、回复或删除 关键词:医药捐赠系统;JSP;MySQL
系统性文献综述的撰写(Systematic Review)-范文2.pdf
04-29
参考范文:Findings on Teaching Machine Learning inHigh School: A Ten -Year SystematicLiterature Review 用于学习研究,侵权请联系本人删除
xx教育渗透测试特训营第一周web1.0pdf
08-02
xx教育渗透测试特训营的第一周课程主题是Web1.0PDF的渗透测试。在这一周的课程中,我们学习了Web1.0PDF的基本原理和渗透测试技术。 Web1.0是互联网的早期阶段,主要是指静态的Web页面,没有复杂的交互和动态功能。PDF(Portable Document Format)是一种常见的文件格式,通常用于在不同操作系统和设备上都能保持格式统一的文档展示。 渗透测试是一种授权情况下的安全测试,主要用于评估和检测系统和网络中的潜在漏洞。在针对Web1.0PDF的渗透测试中,我们首先需要了解PDF文件的内部结构和相关的安全问题。我们学习了PDF的PDF解析器和PDF渲染器这两个关键组件,以及PDF格式中可能包含的恶意代码和漏洞。 在进行Web1.0PDF的渗透测试时,我们使用了一些常见的工具和技术。例如,我们学习了如何使用OWASP Zap和Burp Suite这两个常用的渗透测试工具,对Web应用程序进行扫描和漏洞利用。我们还学习了如何使用命令行工具进行PDF解析和分析,以便发现可能存在的漏洞和安全问题。 通过本周的学习和实践,我们对Web1.0PDF的渗透测试有了更深入的了解。我们了解了渗透测试的重要性和必要性,以及如何使用合适的工具和技术来进行安全评估。在未来的学习和实践中,我们将继续深入研究并探索更多类型的渗透测试,以提升我们的技术水平和知识储备。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值