- 博客(21)
- 收藏
- 关注
RSS订阅原创 DVWA_CSRF(跨站请求伪造)
一、首先像之前一样,进入DVWA Security 改impossible为Low并提交。进入CSRF页面点击View Source查看源码,password_new为新密码,password_conf为确认新密码,两个密码相等就会开始改密码,不相等就不会改这样,于CSRF界面输入新密码,就可以轻易更改密码,例:输入12345并确认新密码,就会提示密码修改成功,这样就可以直接登录DVWA界面。这样是非常不安全的。不过这样太明显了,一般人也不会去点这个网址,可以通过创建短链接(修改网址显.
2022-05-17 21:54:53
277
原创 DVWA_Command Injection(命令注入)
命令注入是一个非常大的漏洞,基本上有这个漏洞,系统就可以很容易被拿下。一、首先,进入DVWA Security 改impossible为Low并提交。进入Command Injection页面点击View Source查看源码,源码非常简单,就只有ping,没有任何过滤在Command Injection页面输入127.0.0.1提交,会显示输入127.0.0.1&&ipconfig会显示dvwa宿主机的ip地址和DNS127.0.0.1后..
2022-05-14 22:36:06
787
原创 dvwa_Brute Force(暴力破解) _High
dvwa_Brute Force(暴力破解) _High首先,进入DVWA Security 改impossible为high并提交。返回Brute Force点击View Source,发现与low的区别在于引入checkToken这条函数 checkToken函数:过滤一些较为低级的爆破 注:之前就用账号和密码两个数值,用checkToken的话,你从服务器上,它会下发一个参数到你的终端,当你用账号密码去登录的时候,实际上是你已经先打开了它这个网站,它会先把这个checkT...
2022-05-11 20:29:33
948
原创 dvwa_Brute Force(暴力破解) _Medium
dvwa_Brute Force(暴力破解) _Medium首先,进入DVWA Security 改impossible为Medium并提交。返回Brute Force点击View Source,发现与low的区别在于引入mysqli_real_escape_string这条函数mysqli_real_escape_string函数:转义在SQL语句中使用的字符串的特殊字符语法:mysqli_real_escape_string(connection,escapestring):..
2022-05-09 21:16:19
444
原创 JDK的下载、安装和配置
JDK的下载、安装和配置一:JDK的下载输入下载地址:Java Downloads | Oracle往下拉系统为Windows的 64位,选择jdk-18_windows-x64_bin.exe二:JDK的安装双击运行安装包修改JDK安装目录根据提示安装完成,这就完成jdk安装了,可以直接点关闭了。三:JDK的环境配置“电脑”右键→属性→高级系统设置→环境变量点击“新建”,新建系统变量JAVA_HOME,值为JDK安装根目录:编辑PATH变量,将刚刚新建的J.
2022-05-07 22:37:52
663
原创 dvwa_Brute Force(暴力破解) _Low
dvwa_Brute Force(暴力破解) _Low首先,进入DVWA Security 改impossible为Low并提交。返回Brute Force点击View Source,进入:"SELECT*FROM`users`WHEREuser='$user'ANDpassword='$pass';"与SELECT*FROM`users` admin' or'1'='1'$user'ANDpassword=' '对比 查user表,or...
2022-05-06 23:18:15
81
原创 最新dvwa环境搭建
一:下载PHPstudy和dvwa压缩包 PHPstudy:Windows版phpstudy下载 - 小皮面板(phpstudy) (xp.cn) dvwa:DVWA - Damn Vulnerable Web Application二:PHPstudy安装后打开:启动apache和MySQL 三:解压dvwa文件到phpstudy_pro/www目录下,并重命名为dvwa四:打开 dvwa文件,找到config文件夹,复制config.i...
2022-05-05 22:02:43
926
2
原创 HTML文档结构
HTML文档结构标准的HTML文档是由标签和要显示在网页上的内容组成。HTML用于描述功能的符号称为“标签”,如<html>、<body>、<table>等。HTM L标签规定HTML文档的逻辑结构,并且控制文档的显示格式,然后由浏览器来负责解释并显示页面。通过使用标签可以区分文本文件的各个组成部分,对网页上的文字、表格、图片等多媒体数据所出现的位置、形式、顺序及网页间的超链接关系进行设定。HTML标签: 标签都封装在一对尖括号“<…>”之中...
2022-04-30 16:57:22
2449
原创 HTML概述
HTML基础要让设计者在网络上发布的网页能够被世界各地的浏览器所阅读,需要一种规范化的发布语言。在万维网(www)上,文档的发布语言是HTML。HTML语言是英文Hyper Text Markup Language的缩写,中文名为超文本标记语言。所谓超文本标记语言,就是该文档有别于纯文本的单个文件的浏览形式,超文本文档中提供的超级链接能够让浏览者在不同的页面之间跳转。标记语言是一种基于源代码解释的访问方式,它的源文件由一个纯文本文件组成,代码中由许多元素组成,而前台浏览器通过解释这些元素显示各种样式
2022-04-29 23:12:53
665
原创 Linux网络基础知识
Linux网络基础知识网络架构:互联网的组成:局域网特点和常用设备:特点:距离短、延迟小、传输速度高、传输可靠设备:HUB、交换机、路由器广域网常用设备:Modem、路由器、广域网交换机、接入服务器网络世界的规则:标准协议,例:HTTP协议标准:数据通信标准分为两类:事实的和法定的事实标准:未经组织团体承认但已在应用中被广泛使用和接受的就是事实标准法定标准:由官方认可的团体制定的标准称为法定标准标准化组织:国际标准化组织(ISO)...
2022-04-27 21:57:25
2889
原创 Linux命令笔记(3)之Linux系统网络配置
Linux系统网络配置查看网络接口信息:ifconfig查看所有活动网络接口的信息 格式:ifconfig 命令查看指定网络接口信息格式:ifconfig 网络接口名例:[root@localhost~]# ifconfig eth0 eth0 Link encap:Ethernet HWaddr 00:0C:29:57:8B:DDinet addr:192.168.4.255 Mask:255.255.255.0inet6...
2022-04-26 20:13:18
394
原创 Linux命令笔记(2)
tar命令 tar 归档命令 释放归档文件 没有压缩功能 格式:tar 选项 归档文件名 源文件或目录 -c:创建归档文件,扩展名为.tar -C:解包时指定释放的目标文件夹 -v:输出详细信息 -f:表示使用归档文件 -x:解开归档文件 -t:列表查看包内文件(不释放解包) -r:追加tar文件至归档结尾 -p:解包时保留原始文件及目录的权限 -z:调用gzip程序 进行解压或压缩 -j...
2022-04-25 22:53:44
363
原创 Linux vi命令
进入vivi是一个较大的UNIX命令,在启动的时候也有它自己的选项和参数基本语法:vi [-options] [+[n]] [file]常用选项:-r,-R -r:用于恢复系统突然崩溃时正在编辑的文件 -R:用于以只读方式打开的文件 +n:用来指明进入vi后直接位于文件的第n行,如果不指定n,则位于最后一行文本插入: 在命令方式下使用某些命令会导致vi马上进入文本插入方式,这些命令包括:i, I, a, A, o, O等 在这种方式下用...
2022-04-24 19:56:15
1522
原创 Linux命令笔记
Linux命令的分类Linux命令:用于实现某一类功能的指令或程序,命令的执行依赖于解释器程序Linux命令的分类: 内部命令:属于Shell解释器的一部分 外部命令:独立于Shell解释器之外的程序文件Linux命令行格式Linux命令的通用命令格式 命令字 【选项】 【参数】 选项及参数含义: 选项:用于调节命令的具体功能 以“-“引导短格式选项(单个字符),例如‘-l’ ...
2022-04-23 23:14:29
562
原创 Linux文件基础
Linux内核版本2-1由Linux内核项目团体统一进行发布 XX.YY.ZZ(XX为主版本号。YY为次版本号,一个是奇数一个为偶数)2.5.7(奇数表示开发版) 2.6.18(偶数表示稳定版)磁盘分区表示Linux中将硬盘、分区等设备均表示为文件例:/dev/hda5 dev:硬件设备文件所在目录 hd表示IDE设备;sd表示SCSI设备 硬盘的顺序号,以字母a,b,c……表示 分区的顺序号,以数字1,2,3……表示Linux...
2022-04-22 22:27:58
555
原创 Linux基础
Unix操作系统:允许计算机同时处理多用户和程序。大型政府单位、大型企业、航空公司、金融机构多在使用,价格昂贵,但性能和稳定性相当的好Linux:可以运行在PC机上类似于Unix风格的操作系统,由众多程序员通过Internet协作开发,Linux是开源的开放源代码的好处:使用的自由:可以不受任何限制来使用软件 研究的自由:可以研究软件运行方式并使其适合个人需求 散布的自由:可以自由的复制此软件并散布给他人 改良的自由:可以自行改良软件并散布改良后的版本Linux系统架构:由内核及应用
2022-04-21 21:34:06
666
原创 黑客常用的DOS命令笔记
color :改变cmd颜色ping-t-l 65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)ipconfig 查看IPipconfig/release 释放ipipconfig/renew 重新获得ipsysteminfo 查看系统信息arp-anet view 查看局域网内其他计算机名称win+R,输入cmd打开管理员界面1输入color ? 出现界面:Ping命令: 检测网络的连通性ping+网址: 可解
2022-04-20 23:07:23
2027
原创 注册表笔记
注册表 是Microsoft Windows中一个重要的数据库,用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候,注册表就已经出现。随后推出的WindowsNT是第一个从系统级别广泛使用注册表的操作系统。但从Microsoft Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中沿用至今。打开注册表:win+R 输入regedit 就打开了注册表编辑器一共有5个根键HKEY-CLASSES-ROOT...
2022-04-19 21:01:00
179
原创 服务及服务端口笔记
服务:服务是一种应用程序类型,在后台运行服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、web服务器、数据库服务器以及其他基于服务器的应用程序分两种类型:本机服务和网络服务,都需要占用一些端口如何打开服务:win+R打开运行窗口 输入services.msc 可看到服务程序若服务没有进行启动的话,计算机的一些功能就无法使用服务的属性界面:常规:服务启动类型:延迟自动,自动,手动,禁用依赖关系:先启动依赖的服务程序才能启
2022-04-18 22:25:42
142
原创 系统目录笔记
系统目录C:/windows/system32/config/ SAM :存放系统账号密码的文件 加锁的文件:系统正在调用的文件注:忘记系统密码可通过pe系统(第三方)对sam进行操作,清空sam,开机就没密码 若拷贝文件但不知道密码,清空sam可对文件任意拷贝,然后再去清空,然后再去登录,然后再拷贝,然后再进入pe把文件还原回来C:/windows/system32/drivers/etc/hostc :记录本地解析...
2022-04-17 22:23:08
2301
原创 渗透测试基础笔记
常见术语:0day:找出来的未见天日的漏洞(在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息)脚本(asp、php、jsp):脚本语言又被称为扩建的语言, 或者动态语言, 是一种编程语言, 用来控制软件应用程序, 脚本通常是以文本 (ASCⅡ) 保存, 只是在被调用时进行解释或者编译。html(css、js、html):HTML是用来标记Web信息如何展示以及其他特性的一种语法规则HTTP协议:一个简单的请求-响应协议,它通常运行在TCP之上CMS:(内容管理系统)一种位于WEB
2022-04-16 22:08:18
2499
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人