渗透小知识
文章平均质量分 81
一点一点积累呗
活着Viva
要成为某个领域的专家,需要10000小时
展开
-
centos7下载setoolkit并克隆网站(fishing网站)
前言测试环境下载setoolkit克隆网站总结前言本文章只做技术探讨,任何人企图进行非法活动与本作者无关。测试环境一台公网centos7(自己买的服务器)一台windows10(我的本机)一个公网登录网页python3.6下载setoolkit下载python3.6yum -y install python3下载gityum -y install git下载setoolkitgit clone https://github.com/trustedsec/social-.原创 2022-04-10 01:43:26 · 1437 阅读 · 1 评论 -
getshell思路
getshell能干嘛文件上传getshell文件包含getshellsql注入getshell操作系统漏洞getshellRCE getshell总结授人以鱼,不如授人以渔getshell能干嘛1.执行终端命令2.文件管理(增删改查)3.数据管理(增删改查,前提找到root用户密码)文件上传getshell网站有上传点,最容易getshell。直接上传一个一句话木马,然后使用webshell管理工具,就能成功getshell如果web应用对上传文件的文件进行过滤,要想办法绕.原创 2022-02-23 22:15:52 · 5711 阅读 · 0 评论 -
渗透网站过程
扫描目录文件phpinfo.phplogin.phpuploadwwwroot.zip进入后台寻找上传点上传一句话利用木马持久性后门扫描目录文件可以使用7kbscan目录扫描、dirsearch、御剑等工具进行扫描,主要查看以下文件(可能没有,也可能名字不一样)phpinfo.phpctrl+f 搜phpinfo.php查看网站的路径disable禁用的函数login.php后台网址弱口令尝试upload文件上传点,方便getshell一开始可能403wwwroot.z.原创 2021-12-07 17:18:32 · 433 阅读 · 0 评论 -
web渗透之信息收集
web渗透之信息收集原创 2021-12-05 21:22:56 · 308 阅读 · 0 评论 -
OWASP TOP 10你了解几个?
OWASP TOP 102021TOP1 Broken Access ControlTOP2 Cryptographic FailuresTOP3 InjectionTOP4 Insecure DesignTOP5 Security MisconfigurationTOP6 Vulnerable and Outdated ComponentsTOP7 Identification and Authentication FailuresTOP8 Software and Data Integrity Fai.原创 2022-01-05 17:05:30 · 2762 阅读 · 0 评论 -
原来服务器是这样知道我的IP地址
前言实验环境代码数据表的记录攻击机尝试sql注入总结前言前几天到一个网站挖洞的时候,遇到一个非常可怕的事情。我用sql语句注入的时候,它给我弹框,显示我的ip地址,操作时间,非法的关键字等消息,像这样我当时非常的慌,它是怎么知道我的IP地址的??连操作时间也知道?他会不会查我水表啊?一系列问题顿时浮现在我的脑中。为了下次不出现这样的‘风险’,我决定自己写个网页,弄清楚里面的原理。实验环境攻击机 windows7 ip 192.168.92.128服务器 windows10 ip 192.原创 2022-01-04 11:24:02 · 1660 阅读 · 0 评论 -
红队模型框架
文章目录PTESCKC侦察 确认目标武器化 准备行动传递 开展行动剥削 获得入口安装 建立后门命令和控制 远程控制植入物关于目标的行动分析ATT&CKPTESPenetration Testing Execution Standard渗透测试执行标准企业进行渗透测试工作的7个标准动作,包括前期交互、情报搜集、威胁建模、漏洞分析、渗透利用、后渗透、报告输出具体解释参考下面博客https://www.jianshu.com/p/92dfdbe8bb8aCKCCyber Kill Cha原创 2021-12-06 23:05:08 · 375 阅读 · 0 评论