- 博客(5)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 AhMyth远程控制手机实验
AhMyth是一款可能控制安卓手机的远程控制软件。可以在github网站上下载。有32位和64位根据自己的需求下载。一、安装直接双击就行,安装好是这样二、双击打开,端口默认42474设置本机IP,点击Build,生成apk文件在模拟器中下载apk文件,双击点击Listen,模拟器会上线,然后点击下图方框中的按键就会出现手机模拟器中的信息,电话,位置,文件等这是我自己尝试了一下,但是有一点是用自己的手机尝试发现只能连接几秒钟就断了,手机中的...
2022-03-24 15:49:26
2141
4
原创 DC1实验
1.收集信息cms信息使用的是drupal扫描端口,开启的是22,80,111端口。目录信息扫描扫到robots.txt,然后生成字典。2.漏洞利用通过robots.txt查看它的版本信息上网搜索相关漏洞,打开msf。设置payload,查看是否在攻击版本范围。设置攻击目标,一定要对的,别写错,得到session。3.提权利用paython的pty获得一个完整的tty,将suid权限打印出来切换到tmp...
2021-09-03 21:23:35
140
原创 Burpsuite暴力破解工具的简单使用
暴力破解的产生是由于服务器端没有做限制,导致攻击者可以通过暴力手段破解所需的信息,如用户名、密码等。暴力破解依靠的是庞大的字典,就看你的字典强不强大。漏洞防御:如果用户登录次数超过设置的阈(yu)值,则锁定账号。如果某个IP登陆的次数超过设置的阈值,则锁定IP。intruder模块1.target 用于配置目标服务器进行攻击的详细信息。2.positions 设置payloads的插入点以及攻击类型。3.payloads 设置payload,配置字典。4...
2021-08-29 21:26:03
998
原创 什么是文件上传漏洞?
文件上传漏洞原理:它是指程序员在开发任意文件上传功能时,没有考虑文件格式后缀名的合法校验或者只考虑前端通过js进行后缀检验,这时攻击者上传恶意脚本代码到服务器上并访问,就会进一步影响服务器的安全。文件上传漏洞防御:采用白名单策略,进行二次渲染过滤图片码、上传文件重命名。文件上传的分类:前端js校验上传、MIME-type上传、黑白名单后缀名上传、文件头上传。绕过方法:前端js校验上传,js脚本运行环境是浏览器,我们可以修改前端js代码或者删除达到上传。MIME-type检测,由于服务器在检测
2021-08-27 21:17:17
619
原创 什么是xss?
xss原理:xss又叫css,全称跨站脚本攻击。它是指攻击者往web页面或url里插入恶意JavaScript脚本代码且应用程序对用户输入的内容没有过滤,那么当正常用户浏览该页面时,嵌入在web页面的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。漏洞的位置:数据交互与输出的地方。漏洞产生的两个条件:1.用户可以控制的输入点。 2.输入能返回到前端的页面上被浏览器当成脚本语言解析执行。xss漏洞的...
2021-08-27 20:24:53
8381
空空如也
awvs安装问题应该怎么办?
2022-04-09
TA创建的收藏夹 TA关注的收藏夹
TA关注的人