12 2022 档案
kali之pip和pip3安装
摘要:安装pip 首先安装setuptools,setuptools是 Python Enterprise Application Kit(PEAK)的一个副项目,它 是一组Python的 distutilsde工具的增强工具(适用于 Python 2.3.5 以上的版本 wget https://pyp
AWVS漏洞扫描器的使用
摘要:前言 AWVS是一款强大的web漏洞扫描工具,扫描速度快,可针对特定的漏洞进行扫描测试,用于在按全人员对指定企业进行安全扫描以及测试人员对web应用检测漏洞。 ###AWVS使用以及功能介绍 这里介绍的是使用老版本Acunetix_13漏洞扫描器 点击左边功能框的Target中的Add Target
Django之SQL注入漏洞复现(CVE-2021-35042)
摘要:前言 SQL注入的原理是对web请求,表单或域名等提交查询的字符串没有进行安全检测过滤,攻击者可以拼接执行恶意SQL命令,导致用户数据泄露 漏洞原理 Django 组件存在 SQL 注入漏洞,该漏洞是由于对 QuerySet.order_by()中用户提供数据的过滤不足,攻击者可利用该漏洞在未授权的
代码审计之PhpStorm环境调试
摘要:前言 不管是在学习php开发还是在学习代码审计,都离不开phpstorm的调试,这款工具的开发极大地便利了程序员以及安全人员的调用,因此学会如何去使用phpstorm调试是必备的一项技能。 环境准备 phpstudy 2018 phpstorm 2021.3 一个普通的登录页面 环境搭建与调试配置
Vulnhub之Credit_Card_Scammers靶场渗透
摘要:前言 一次“夺旗”练习,涵盖了许多不同的技巧。 背后的故事:骗子正在利用人们,各种假冒购物网站已经建立起来,但人们发现他们的订单从未到达。我们发现了一个诈骗网站,我们认为该网站正在从受害者那里获取信用卡信息。您的目标是通过获得root访问权来删除欺诈网站,并识别其服务器上的3个标志。我们的情报显示,
未授权访问漏洞之Redis漏洞复现
摘要:前言 未授权访问漏洞简写是SSRF(Server-Side Request Forgery:服务器端请求伪造),是一种服务器端提供了可以从其他服务器获取资源和数据的功能,但没有对目标地址进行过滤和限制,导致可以任意访问服务器端获取数据资源的漏洞,我们本次复现用到的是discuz+redis的环境 R
代码审计之正则表达式学习
摘要:前言 代码审计是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。 而代码审计就不得不讲到正则表达式,此博客整理了php中的一些常规的正则表达式
宝塔渗透之msf代理入侵
摘要:前言 在渗透中遇到内网主机是一层接一层的拓扑形式,可以采用多层代理加路由转发访问,便于在渗透中出现网段隔绝可以使用此方法跳出局限 实验环境 kali: 192.168.75.131 target-centos7: 网卡1 192.168.75.132 网卡2 192.168.22.128 targe
ARL灯塔系统搭建
摘要:## ****前言**** ARL(Asset Reconnaissance Lighthouse)资产侦查灯塔,是一个良好的资产收集系统,旨在为渗透测试人员以及安全团队基于企业的网络安全能快速查找到指定企业资产中的脆弱点,降低企业被利用及威胁可能性的风险 ## **实验环境** 系统:centos
