p3_第03天:基础入门-搭建安全扩展

最新推荐文章于 2023-04-25 17:58:21 发布
最新推荐文章于 2023-04-25 17:58:21 发布
阅读量354 收藏 1
点赞数
分类专栏: 网络安全学习 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56280430/article/details/127598634
版权

p3:第03天:基础入门-搭建安全扩展

【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili

涉及知识:

常见搭建平台脚本启用
域名IP目录解析安全问题
常见文件后缀解析对应安全
常见安全测试中的安全防护
WEB后门与用户及文件权限

常见搭建平台脚本启用

打开虚拟机的IIS服务

域名IP目录解析安全问题

在浏览器输入IP+端口号就可以访问网站。

可以自己设置域名。

但是由于我们没有申请过这个域名,那如果我们ping它,只会解析外网的地址。

但是可以通过修改本地host文件,将刚刚的域名对应的IP等信息加入

就可以解析到该IP了。记得加端口号。

PHPstudy
先查看自己的IP地址

浏览器打开,打开PHP study网站根目录

在网站的修改会保存在www的这个目录下。在www这个文件我们都可以用网页来访问。比如看bbs。

利用自己的xiaodi8.com做实验

再用别的电脑访问网页+1.txt就会显示刚刚保存的内容。

注意:有区别,用IP地址访问,对应的文件夹是www。但是域名访问的文件夹是blog。
tips:所以我们在扫描网站文件时要注意是要输入域名还是IP,看他存取的文件夹位置在哪里。

这里小迪用自己的网站弄了个后门,用中国菜刀连接,然后可以从网页上访问文件夹。
这个设置可以asp等后缀

这里实在没有听懂,就截屏了其他人的笔记。

常见安全测试中的安全防护

学校内网和企业内网会有这些安全防护操作,规范访问者的权限。

第三种 安全通信就是那些HTTPS要访问证书才可以访问,所以要服务器证书。
第一种:身份验证方法
假设取消启用匿名访问

需要进行身份认证。

第二种:IP地址和域名限制

拒绝本机地址访问。

WEB后门与用户及文件权限

文件夹禁止权限导致外面访问的人看不到信息。
windows下,拒绝大于允许。
读取与运行:

执行权限选“无”时,代表没有执行权限,文件无法执行,代码无法执行,无法使用。

有很多安全策略,所以会有很多无法绕过。
这个“无”的绕过方法,就找有权限的。因为他不可能把正常文件设权限,因为他自己也要运行。
总结下关于安全或防护问题?
IP或域名解析WEB源码目录对应下需要注意目录问题。
演示案例:
基于中间件的简要识别
网站数据包会体现。

数据包有网站搭建平台和中间件信息,

基于中间件的安全漏洞
“web中间件常见漏洞总结.pdf”
基于中间件的靶场使用
涉及资源:
https://www/vulhub.org/
web中间件常见漏洞总结,Vulhub靶场

下载镜像,打开靶场。必须要建立在linux系统上。

命令在靶场网站都有。

1:06:00自己试试,截屏。
IS只有windows才有,linux没有,要自己搭建。
搭建平台有漏洞,会出现安全问题,会有防护手段,中间件搭建平台必不可少,会成为攻击角度。

自己做:

安装好ubuntu后,就下载vulhub。
https://github.com/vulhub/vulhub/tree/master/phpmailer/CVE-2017-5223
下载好打开。
image.png
image.png
随便打开一个试试。
image.png
下载vulhub有个漏洞环境,里面有关于这个文件夹的命令。
image.png
image.png
出错了,说没有找到这个命令。
重新安装?
image.png
漏洞环境说明:https://vulhub.org/#/environments/activemq/CVE-2016-3088/
https://vulhub.org/#/environments/httpd/CVE-2017-15715/
应该是没有提前安装docker,但是pip都执行不了,等一下调教一下。
先用kali试试。

Ubuntu搭建靶机

安装网站参考:(1条消息) Ubuntu各个版本下载和安装_盼丨盼的博客-CSDN博客_ubuntu下载
一直出错,最后用了这个博客才写对了。
vmware16下安装ubuntu20.0报错:发生错误,导致虚拟 CPU 进入关闭状态。如果虚拟机外部发生此错误,则可能已导致物理计算机重新启动……_MAPLEJIANGLI的博客-CSDN博客

问答时刻:



xiaodi8.com访问的是blog目录。
自己的xiaodi8.com本机访问自己的网站,在网页输入的是127.0.0.1,如果从别的计算机访问则输入 那个本机的IP。
IP访问的是根目录,域名解析的是目录下的子目录。
根据数据库反馈数据信息;搭建平台,反推;扫描工具去扫,发现是什么脚本信息;直接用谷歌搜索引擎,看看有没有快照信息;抓网站数据包,常见的PHP写法信息,phpsession jspseesion
文件上传是网站源码

因为你APP和电脑抓包的数据包信息是不一样的,比如说user—agent,referer等等。要改掉这些信息,才复现。
两种方法:
1.APP提取web,反编译
2.抓包
抓包要先把burp配置好,模拟器wifi端口号配好,
模拟器随便点,都点一下,产生多一点数据包。

里面就会有很多数据。
另一种方法:
把apk文件放进反编译软件反编译,

就可以把这些网站打开,做安全测试。
如果打不开就用burp抓包

聒噪的聒聒
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DIY:用开源软件搭建自己的物联网
happytofly的博客
05-17 5169
原文链接:DIY : Open Source Software for your very own IoT 作者:Vishal Shah 翻译:赵屹华 审校:刘翔宇 图片来源:open-stand.org物联网(Internet of Things, IoT)是最近被频频提及,也涌现出许多的想法。这个社区持续地在发展,所以需要有一个对大众开放的物联网平台,让每个人都能来实现...
P3_rouanet_florian_08042021:Projet-3_开放式教室_CSS动画
04-20
【描述】"P3_rouanet_florian_08042021" 提供了一个时间线索,表明这是Florian Rouanet于2021年8月4日完成的项目第三阶段。描述中没有具体的技术细节,但我们可以推测这个项目可能是一个逐步发展的过程,其中包含了...
网络安全:常见的中间件以及环境搭建方法
Mr_qing的博客
09-08 3691
常见的中间键IIS、weblogic、jboss、apache(php)、nginx、tomcat等搭建方法
《小迪安全》第3 搭建安全扩展
m0_56250796的博客
03-29 274
1.搭建平台中间件)有漏洞。2.搭建平台中间件)在网站解析时存在相应安全问题。3.搭建平台中间件)上有相应防护手段,有的可以绕过,有的不可以,具体问题具体讨论。后期渗透过程中,中间件搭建平台)是必不可少的,它可以是攻击对象。
web渗透-------基础入门
hhhjjjllll的博客
04-25 1333
本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,
细节增强的matlab代码-P3_public_analysis:P3_public_analysis
05-27
细节增强的matlab代码P3_public_analysis 此仓库包含生成本文图形中包含的所有图形和图像所需的脚本: Mellis IA等。 扰动面板分析可识别可增强细胞身份定向变化的转录因子。 bioRxiv(2020); 修订版于2021年4月...
GeeksHubs_P3_-_Buscador_de_Peliculas:第三个训练营 GeeksHubs 项目
05-30
入门 :rocket: 或者你可以使用 git clone(仓库地址)克隆仓库 内置 :hammer_and_wrench: HTML CSS 引导程序 Java脚本 作者:man_technologist_medium-light_skin_tone: 拉斐尔·费尔南德斯·戈麦斯- 预习
P3_Aurelien_Cologne:P3 OhMyFood
03-28
【标题】"P3_Aurelien_Cologne:P3 OhMyFood"是一个项目,可能是由开发者Aurelien Cologne创建的,项目名称为"P3 OhMyFood"。从标题来看,这可能是一个与美食相关的Web应用程序或者网站,可能涉及到用户界面设计、...
阿里巴巴Java代码质量检测插件:p3c-pmd-2.1.1.jar
03-07
阿里巴巴的p3c-pmd-2.1.1.jar是一款专为Java开发者设计的代码质量检测工具,旨在提升代码质量并遵循阿里巴巴内部的编码规范。该插件是基于开源项目PMD进行定制和优化,旨在帮助开发团队在早期阶段发现并修复潜在的...
WEB服务器常见漏洞介绍.PDF文档
12-07
WEB服务器常见漏洞-建站者需要注意的服务器漏洞
常见中间件漏洞总结PPT
01-25
常见中间件漏洞总结PPT,内含tomcat、weblogic、Nginx、iis、jboss等的常见漏洞和介绍,培训学习均可用。
Web中间件常见漏洞总结.pdf
06-14
Web中间件常见漏洞总结
web中间件常见漏洞总结.pdf
12-14
web中间件常见漏洞总结.pdf
中间件漏洞合集.zip
07-15
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
中间件漏洞汇总
热门推荐
LainWith的博客
11-26 1万+
目录一些地址什么是中间件iis6x篇PUT漏洞漏洞描述漏洞复现防御方式解析漏洞-基于文件名原理复现防御解析漏洞-基于文件夹原理复现防御IIS短文件漏洞介绍原理复现防御RCE-CVE-2017-7269介绍影响范围复现防御iis7x篇文件解析漏洞原理复现防御HTTP.SYS远程代码执行(MS15-034)介绍影响范围影响版本复现修复建议apache篇未知扩展名解析漏洞漏洞原理复现修复建议AddHandler导致的解析漏洞原理复现修复建议目录遍历漏洞原理复现防御Apache HTTPD 换行解析漏洞(CVE-2
WEB安全_基础入门_搭建安全拓展 常见搭建平台中间件)脚本启用
erfan_lang的博客
08-11 667
目录常见搭建平台中间件)脚本启用一、常见搭建平台脚本启用二、域名IP目录解析安全问题三、常见文件后缀解析对应安全四、常见安全测试中的安全防护1.网和企业内网会限制外部人员访问内部的网站,限制IP地址,规范访问者的权限。2.身份验证和访问控制,基于用户的限制3.限制IP地址的访问,授权访问-只允许指定IP地址可以访问。 拒绝访问-指定IP地址拒绝访问五、WEB源码中敏感文件后台路径配置文件备份文件六、web后门与用户及文件权限七、基于中间件的简要识别八、基于中间件安全漏洞 常见搭建平台中间件)脚本启用
中间件漏洞总结笔记
..
05-03 5053
中间件常见漏洞总结 下面分三种常见的中间件来总结:IIS、apache、nginx 声明 以下涉及的图片内容均为互联网搬运。 IIS IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS目前只适用于Windows系统,不适用于其他操作系统。 解析漏洞 IIS 6.x 基于文件名 该版本 默认会将 *.asp;.jpg 此种格式的文件名,当成Asp解析。
D:\APP\QT\QT_projects\p3_try_by_slef\new_window.cpp:21: error: definition of implicitly declared destructor
最新发布
07-28
回答: 这个错误是因为在D:\APP\QT\QT_projects\p3_try_by_slef\new_window.cpp文件的第21行定义了一个隐式声明的析构函数。在C++中,如果没有显式声明析构函数,编译器会自动生成一个隐式的析构函数。然而,当你在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值