way
-Q-
这个作者很懒,什么都没留下…
展开
-
入坑之路第二天(kali的工具侦察和服务器攻击上)
侦察阶段robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。因为一些系统中的URL是大小写敏感的,所以robots.txt的文件名应统一为小写。https://web.archive.org //web历史归...原创 2019-03-20 09:36:44 · 414 阅读 · 0 评论 -
入坑之路第三天(kali服务器端攻击工具下)
利用电子邮件系统的漏洞(Fierce、Netcat)MX主机就是SMTP服务器暴力破解攻击Hydra(暴力破解攻击方法来测试一系列不同的协议,搭配Firefox插件Tamper Data)DirBuster(暴力破解web应用服务器上的目录和文件名而设计的)John the Ripper(密码破解器)WebSlayer是一个Web应用程序破解工具中间人攻击SSL s...原创 2019-03-20 21:07:28 · 781 阅读 · 0 评论 -
入坑之路第六天(web攻击下)
四类主要的DoS/DDos攻击类别1、基于量的攻击(Volume Based Attacks 耗尽受害者站点带宽):UDP洪水、ICMP洪水和其他基于欺骗数据包的洪水2、协议攻击(Protocol Attacks 消耗服务器的资源或中间设备):SYN洪水、死亡至Ping(Ping of Death)、Smurf攻击、泪滴攻击(Teardrop Attack)、数据包碎片攻击(Fragmen...原创 2019-03-24 21:37:31 · 250 阅读 · 0 评论 -
入坑之路第四天(kali客户端攻击)
客户端攻击SET(社会工程工具集,SocialEngineerToolkit)MITM Proxy用来检查客户漏洞的工具主机扫描(Nessus自动检测系统中是否含有已知的公开漏洞)获取和破解用户密码(Crunch、John the Ripper、RainbowCrack、www.freerainbowtables.com)猜测、字典攻击、暴力破解、混合方式身份认证攻击单点...原创 2019-03-21 21:50:10 · 422 阅读 · 0 评论 -
入坑之路第一天(kali安装的坑)
第一种打算把kali安装在u盘(32G,3.0的)上,在youtube上也有很多视频教程,但就是不一样,跟着教程走,挂载完硬盘后重启,漫长的计时,结果开机重新进入时又有另一个计数,我心态的不好了,查了很多方法还是没有解决,还会有点卡,我就放弃了;第二种在windows自带的应用商城下载kali,命令框的一百八十多MB,基本上没什么东西,连vim都没有,太高级了,我等小白还是不搞了...原创 2019-03-18 23:33:16 · 1077 阅读 · 0 评论 -
入坑之路第五天(kali&web攻击上)
浏览器漏洞利用框架(BeEF,Browser Exploitation Framework)FoxyProxy:管理、修改、启用或禁用Firefox上的代理设置Burp代理:拦截HTTP和HTTPS流量的工具OWASP(ZAP):集成渗透测试工具Fimap:python工具,用于自动查找、准备、审计、利用和用谷歌搜索web应用中的本地和远程文件包含(LFI和RFI)Bugby105...原创 2019-03-23 10:00:52 · 924 阅读 · 0 评论 -
入坑之路第七天(防御策略&报表工具)
防御对策1、测试你的防御系统(安全基线、STIG(安全技术实施指南 Security TEchnical Implementation Guide)、补丁管理、密码策略)2、构建测试镜像环境(HTTrack、webCopier、w3mir)3、防御中间人攻击1.保证网站使用的都是SSL/TLS3.02.使用VPN3.防御SSL strip4、防御拒绝服务攻击5、防御针对co...原创 2019-03-26 16:26:13 · 269 阅读 · 0 评论 -
入坑之路第八天(DVWA坑之介绍)
谷歌翻译:**的易受攻击的Web应用程序(OMG,脆弱的web应用程序)安装教程在网上有很多,我是按着网上来的,成功没什么坑。当你访问到如下画面说明,你成功安装DVWA了密码admin,账号password(别放在服务器上哦,在虚拟机上安装玩玩就好)登陆后你会看到如下画面其实它已经说的很清楚了,只是是英文的,不懂的翻译一下就好。左边为目录,介绍、配置、还有可以...原创 2019-04-05 17:59:27 · 325 阅读 · 0 评论