- 博客(5)
- 收藏
- 关注
RSS订阅原创 KALI操作系统在虚拟机的安装
kali操作系统是一个功能强大齐全的渗透工具操作系统,下面介绍kali操作系统的安装过程。需要在虚拟机上安装kali当然需要虚拟机 ,博主使用的是vmware在kali官网下载kali镜像根据电脑实际配置选择下好后我们就可以开始在虚拟机上安装kali首先创建新的虚拟机在引导窗口中选择自定义!相应操作跟图走接下来在内存上强烈建议分配的内存大于推荐内存,否则在最后下载时容易卡死、...
2019-03-31 21:57:20
751
原创 搜索型SQL注入及SQL漏洞测试
搜索型注入原理和数据型,字符型注入相差不大,都是通过构造一个合法的语句,当参数传入后台后,造成一个合法的SQL语句闭合,从而将数据库里的数据遍历出来。首先打开客户端寻找纯在SQL注入漏洞的注入点。通过提示可知,尝试输入一个提示字符进行搜索,z这里我们输入字母’l’,可以看见后台给出的相关信息。通过后台给出的数据,和平台给的输入提示。我们可以设想后台是否用了搜索逻辑去进行相关数据的搜索从而...
2019-03-31 21:09:54
5452
原创 SQL数字.字符型漏洞注入再现
当应用程序使用输入内容来构造动态sql语句以访问数据库时,会发生sql注入攻击。当服务器将获得的客户端输入值并没有做任何处理直接拼接到查询语句中去访问数据库,输入端可以利用诸如逻辑运算符等使返回值永远为真达到欺骗服务器形成恶意的SQL语句例如,输入’1’时返回值为真,当输入’1’ or ‘1’='1’时,由于’1’为真,‘1’='1’永远为真,通过逻辑or运算时返回值也永远为真,那么此时视作输...
2019-03-24 21:12:26
525
翻译 客户端验证码的绕过再现
1在客户端登陆中往往除了账户和密码之外还需要验证码,但是如果验证码仅仅是在前端进行验证而没有发送到后端,就会纯在验证码被绕过的风险。以下展示验证码的绕过。打开burpsuit进行抓包。右键点击抓到的请求>send to Reapeater点击工具栏的Repeater点击Go进行数据的重放,并且在右端的显示窗口可以找到实际发送到后端的请求有哪些。可以看见只有账户和密码的返回而没有...
2019-03-24 14:50:26
966
原创 pikachu暴力破解演示及burpsuit使用教程重现
1.找到存在暴力破解漏洞的登录端口。2.打开提前下好的burpsuit。3打开浏览器的更改代理器服务设计,并进行LAN设置为LAN使用代理服务器,进行地址和端口的更改,本地地址一般为127.0.0.14.接下来在浏览器访问pikachu5.打开暴力破解基于表单的暴力破解尝试着输入账号密码,随后到burpsuit查看抓包。选择列表中抓到的请求右键点击send to intruder...
2019-03-17 17:39:31
1407
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人