- 博客(7)
- 收藏
- 关注
RSS订阅原创 Pikachu第一关(模块)---2,3
输入错误的验证码,前端提示验证码输入错误,猜测验证码由前端代码验证bp抓包发现没有POST请求的包,输入正确的验证码,提示用户名或密码错误bp抓到POST请求的包,发到repeater模块,将验证码修改看看返回的包提示username or password is not exist,说明只要绕过前端直接给后端发送数据包即可爆破,开始攻击。
2023-12-26 16:02:45
362
1
原创 漏洞练习平台--------Pikachu靶场
1,小皮安装3,在PHPstudy首页中把Apache和mysql打开,然后创建一个网站域名为:127.0.0.1然后把pikachu.zip解压进127.0.0.1php创建一个叫pikachu的数据库用户名不能为root,打开D:\phpstudy_pro\WWW\127.0.0.1\pikachu\inc\config.inc.php,把配置的用户名和密码改成数据库的用户名和密码4,浏览器打开127.0.0.1/pikachu到此环境配置成功开启相关服务(kali自带PHP和MYSQL)
2023-12-25 21:27:28
1055
原创 网络渗透实验(三)————xss和sql注入(1)
只要客户端访问这个服务器的留言板,客户端浏览器就会被劫持,指定被劫持网站为学校主页,将你在beff中的配置截图。(刚刚开始遇到了报错,未经授权,解决方案:给IIS匿名用户访问网站文件夹的权限,方法:进入该文件夹的安全选项,添加IIS匿名用户,赋予权限(我给了everyone))查看down到本地的用户名与密码(提示带.的文件夹为隐藏,在图形命令下,用文件浏览器打开文件夹,按下ctrl+h组合键可显示隐藏文件合文件夹,再按一次取消显示。////////////发现几次错误都在命令输入错误导致,报错先看命令。
2023-12-25 15:30:40
1197
原创 网络渗透实验(二)————网络扫描和网络侦察
利用人们平时常用的词、句破译,如果说暴力破解是一个一个的尝试那么字典破译就是利用人们习惯用人名、地名或者常见的词语设置成密码的习惯进行破译。1.2 在互联网上找到任意一个以明文方式传递用户帐号、密码的网站,B是否能看到A和外网(该网站)的通信(A刚输入的帐户和口令)?2.1 为了捕获A到外网的数据,B实施ARP欺骗攻击,B将冒充该子网的什么实体?以*****为目标网站,构造字典(wordlist),其中包含你的正确密码,进行字典攻击,实施字典攻击,你是如何判断某个密码为破解得到的正确密码,
2023-12-22 19:03:16
893
原创 网络渗透----初识网络
1,kali虚拟机采用桥接模式;物理机连接guet-wifi,kali中查看网络配置并截图,是否能获得IP地址?2,kali虚拟机采用桥接模式,物理机连接手机热点,kali中查看网络配置,是否能获得IP地址?命令:ifconfig(获取网络配置)
2023-11-16 16:31:59
25
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人