Kali Linux Web渗透测试手册(第二版) - 2.8 - 利用robots.txt

最新推荐文章于 2024-01-23 15:09:29 发布
最新推荐文章于 2024-01-23 15:09:29 发布
阅读量737 收藏
点赞数 1
分类专栏: 渗透测试 kali 文章标签: Kali Linux Web渗透测试手册
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhjulia123/article/details/98796775
版权
本文档介绍了在Kali Linux环境下,如何利用robots.txt文件进行Web渗透测试。通过实例展示了如何利用robots.txt找到并访问通常被隐藏的目录,如在vicnum脆弱web应用中的jotto和cgi-bin目录,从而揭示可能存在的安全漏洞。
摘要由CSDN通过智能技术生成

第二章:侦察

介绍

2.1、被动信息收集

2.2、使用Recon-ng收集信息

2.3、使用Nmap扫描和识别应用服务

2.4、识别web应用防火墙

2.5、识别HTTPS加密参数

2.6、使用浏览器自带的开发工具来做基本的分析和修改

2.7、获取和修改cookie

2.8、利用robots.txt

怎么做…

为了说明渗透测试如何利用robots.txt。我们将在vm_1中使用vicnum,这是一个脆弱的web应用程序,它包含三个数字和单词猜测游戏。我们将使用通过robots.txt获得的信息。为了增加我们赢得这些比赛的机会:

1.  浏览器打开 http://192.168.56.11/vicnum/.

2.  现在,我们添加robots.txt到URL中,我们将看到如下结果:

这个文件告诉搜索引擎,对于每个浏览器(用户代理),不允许对目录jotto和cgi-bin进行索引。然而,这并不意味着我们不能浏览它们。

3.  让我们打开 http://192.168.56.11/vicnum/cgi-bin/:

最低0.47元/天 解锁文章
Mm901
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Robots.txt渗透测试中的利用
Decaede的博客
03-06 633
Robots是一个协议,全称为“网络爬虫协议”,也称爬虫协议、机器人协议等。网站通过Robots协议告诉搜索引擎哪些页面可以访问,哪些不可以访问。
web渗透-robots.txt的用途
Amdy_amdy的博客
05-07 1757
web渗透过程中,前期的信息收集时,robots.txt是一个很重要的目录,可以帮助我们查看网站的敏感路径、敏感文件等,对于robots.txt,你知道多少呢? robots.txt是一种协议,用来告诉搜索引擎,哪些文件可以爬取,哪些文件不能爬取。一般而言,搜索引擎都会遵循这个规则(个别与电子商务有关的国人公司除外)。 robots.txt使用介绍 在网站根目录下创建一个文件,取名robo...
网站robots.txt探测工具Parsero
01-21 192
网站robots.txt探测工具Parsero robots.txt文件是网站根目录下的一个文本文件。robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当搜索引擎访问一个站点时,它...
robots.txt文件信息泄漏
fansenliangren的博客
11-21 2458
搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。robots.txt文件可能会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用
Kali-Linux-Web-Penetration-Testing-Cookbook-Second-Edition:Packt出版的《 Kali Linux Web渗透测试手册》(第二版
05-27
Kali Linux Web渗透测试手册-第二版 这是Packt发行的《 》的代码库。 发现最常见的Web漏洞,并防止它们成为对您网站安全的威胁这本书是关于什么的? Web应用程序是恶意黑客的巨大攻击点,也是安全专业人员和渗透测试...
kali-linux-2021.3-installer-amd64.part4.rar
09-29
kali-linux-2021.3-installer-amd64.iso适用于X64位系统,文件分割成 5个 压缩包,必须集齐5个 文件后才能一起解压一起使用: kali-linux-2021.3-installer-amd64.part5.rar ... kali-linux-2021.3-installer-amd64....
kali-linux-2023.3-vmware-amd64.part3.rar
10-13
kali-linux-2023.3(kali-linux-2023.3-vmware-amd64.7z)适用于VMware系统,文件使用WinRAR分割成四个压缩包,必须一起下载使用: 文件1:https://download.csdn.net/download/weixin_43800734/88423344 文件2:...
kali-linux-2023.3-vmware-amd64.part2.rar
10-13
kali-linux-2023.3(kali-linux-2023.3-vmware-amd64.7z)适用于VMware系统,文件使用WinRAR分割成四个压缩包,必须一起下载使用: 文件1:https://download.csdn.net/download/weixin_43800734/88423344 文件2:...
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.part3.rar)
06-14
Kali Linux VMware(kali-linux-2022.2-vmware-amd64.7z)文件分割成 3个 压缩包,必须集齐3个 文件后才能一起解压一起使用: kali-linux-2022.2-vmware-amd64.part1.rar ... kali-linux-2022.2-vmware-amd64.part2.rar...
Web渗透测试 使用Kali Linux
06-15
使用kali linuxweb渗透的经典书籍,外文书籍中文翻译。
vicnum-开源
06-07
一个灵活的 Web 应用程序,显示跨站点脚本、sql 注入和会话管理问题等漏洞。 有助于 IT 审计员磨练网络安全技能并设置“捕获标志”。 在 http://vicnum.ciphertechs.com 玩游戏
小白入门黑客(超详细)渗透测试基本流程(内附工具)
最新发布
fly_enum的博客
01-23 990
经常会收到小伙伴们这样的私信:为什么我总是挖不到漏洞呢?渗透到底是什么样的流程呢?渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪些漏洞,怎么填补,从而防止黑客的入侵。渗透测试分为和我们现在就模拟黑客对一个网站进行渗透测试,这属于黑盒测试,我们只知道该网站的URL,其他什么的信息都不知道。接下来,我就给大家分享下黑盒渗透测试的流程和思路!这个没什么好说的就是确定你的渗透目标是什么。,你要把你要攻击的目标全部探测清楚,才能更好的攻击。
小白入门黑客之渗透测试基本流程(全网最详,附工具)
瓦罗兰特顶级C位的博客
06-09 3642
渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪些漏洞,怎么填补,从而防止黑客的入侵。
[渗透测试学习靶机01] vulnhub靶场 The Planets: Earth
weixin_47112073的博客
10-10 2759
渗透测试学习,vulnhub靶场练习Earth靶机
内网安全-隧道穿透漫游
m0_67105288的博客
02-23 626
隧道穿透与端口转发 什么是隧道? 在渗透测试中,进入内网后,我们要判断流量是否能够出的去、进的来。 在实际的网络情况下,流量会经过很多的边界设备,在一般的企业内网中,可能会存在 IDP、IPS、防火墙等设备,如果异常的话,就会直接将通信阻断;这里我们说的隧道,就是绕过端口屏蔽的通信方式。防火墙两端的数据包通过防火墙所允许的数据包类型或者端口进行封装,然后穿过防火墙,与对方通信。当被封装的数据包达到了另外的地址的时候,解包还原,并将还原后的数据包发送到相应的服务器上。 常见的隧道包括三个大类:网络层、应用
靶机渗透测试(Lampião: 1)
@小张小张的博客
10-30 765
靶机渗透测试(): ***Vulnhub靶机 *** 靶机:修改靶机的网络配置为桥接模式。 攻击机:Kali虚拟机,同样使用桥接模式,即可访问靶机靶机难度:(Intermediate–Hard) 目标:Boot to Root .Your target is gain the Root access 渗透流程: 1. 探测靶机ip地址(netdiscover -i eth0 -r 网关) 命令:netdiscover -i eth0 -r 192.168.10.0 得到靶机ip为:192.1
渗透测试后台查找,如何查找网站后台
大河之犬的博客
06-26 5082
如果有网站后台入口,我们可以直接登登陆进去。当我们进入到一个网站主页时,想进行对其后台的查找时,我们就可以先随意查看和点击当前网站的页面,浏览下网站的大体页面结构,说不定往往会有很多意想不到的收获哟。当我们尝试不能直接浏览网页找到后台时,我们可以尝试下故意请求不存在的页面,让网页故意显示报错信息,查看网站真实路径,说不定借此作为突破口,可以得到我们想要的后台地址信息。当我们对浏览当前页面后无法直接找到后台地址时,我们应针对它页面后台地址下手,对网站后台地址进行一些猜解和信息收集,进一步去寻找网站后台地址。
Web 应用渗透测试 00 - 信息收集
0pr
01-21 2262
这个系列写 Web 应用渗透测试相关的内容。此篇从信息收集开始,看一下 Web 应用端有哪些方面的信息值得渗透测试者去收集,能对后续的行动产生积极的影响。
精通Kali Linux 高级渗透测试2023版本,英文原版
07-12
"精通Kali Linux 高级渗透测试2023版本(Mastering Kali Linux for Advanced Penetration Testing Fourth Edition)是一本由Vijay Kumar Velu编写的权威指南,它在当前数字化时代背景下,聚焦于网络安全领域。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值