- 博客(6)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 xss漏洞攻击试验流程1
1.XSS攻击原理XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用户访问网页时在其浏览器中进行执行。攻击者通过插入的脚本的执行,来获得用户的信息,比如cookie,发送到攻击者自己的
2020-05-28 21:47:19
1339
2
原创 关于HackBar插件收费问题的解决办法
前不久HackBar插件收费了,作为一个白嫖党,自然就换了不收费的版本,但是这个是真的不好用,经过几番摸索,最终找到了解决办法先放资源:链接:https://pan.baidu.com/s/1r2BRMqNUvmz60j5Scv8oUw 提取码:zd9h Chrome的插件链接:https://pan.baidu.com/s/1VJQPr_B9nw3PKL1Jj3Yz_A 提取码:bwyo 火狐的插件安装的方法:1.Chrome下载下来后是这两个文
2020-05-27 19:43:02
1550
原创 (ms17-010)永恒之蓝漏洞的复现
一、什么是永恒之蓝永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。二、攻击方式恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开
2020-05-27 15:29:41
250
转载 漏洞扫描工具的使用
我又来了,在博客用markdown写文章总是会有许多格式问题,我用其他的文本编辑器写的时候也不见有这些问题,真是令我摸不着头脑,如果有明白的小伙伴希望能给我些意见,感激不尽。 又是把笔记搬出来分享的一篇文章,有些步骤我自己都快忘了。。。下面开始漏洞扫描实验。 一、 实验名称:漏洞扫描 二、 实验环境:VMware Workstation pro虚拟机、kali-linux-2019.4(攻击机1)、Nessus WVS2合1(攻击机2)、WinXPenSP3(靶机1)、Windows 7 x64
2020-05-25 20:07:02
638
原创 SQL实战post注入DVWA
1.首先搭建好自己本地的DVWA,进入DVWA并登录,将安全级别调至low2.使用burpsuite打开拦截,浏览器设置本地代理进行抓包,在sql injection页面userID输入并enter3.没有发现数据包emmm4.百度了一哈发现需要把localhost改为自己本地IP地址5.改了之后重新进入DVWA将安全等级设为low,进入SQL injection页面输入1回车6.返回burpsuite查看是否抓到了抓取数据包成功7.将抓取到的数据包复制为TXT文件 我命名为1.txt
2020-05-20 19:09:21
694
原创 SQL注入步骤
SQL注入的过程最近学习了SQL注入,抽空总结一下1.寻找注入点找到类似的id=类似的可以手工测试是否为注入点一般的测试手工手段就是 id=1 and 1=2 等等根据返回的页面判断是什么类型的注入方式一般没有加’‘就是数字型注入 加了’‘就是字符型注入 根据不同的注入类型来选择不同的注入方式2.判断字段个数 id=1 order by n3. 判断数据库信息 这个一般是根据页面的报错显示数据库的类型等等4.查找数据库名 ?id=1 and 1=2 uni
2020-05-16 22:49:38
511
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人