烤红薯咖啡馆

摘要： 续上一章。 渗透测试开始第一步，信息收集？错了，先需要在大脑中准备需要做什么。开个玩笑；） 一、信息收集 1、主动信息收集 1）whois信息 2）Web应用程序信息 3）中间件信息 4）操作信息信息 5）DNS信息 6）CMS信息 7）数据库信息 8）开放端口信息 9）网络设备信息 10）子域名信 阅读全文

摘要： 各位好，本系列打算对本人学过的渗透测试知识做一个总结。与此同时希望能够帮助到一些迷茫的人。 渗透测试这门艺术比较难学，首先需要了解程序（前端程序、后台程序、数据库、框架，CMS.....），然后学习常见的手法（SQL注入、XSS、CSRF、文件上传、SSRF....）和使用黑客工具，其次将手法（漏洞 阅读全文

摘要： http://192.168.136.131/sqlmap/mysql/get_int.php?id=1当给sqlmap这么一个url的时候，它会：1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择，读取哪些数据sqlmap支持五种不同的注入模式：1、基于 阅读全文

摘要： 这个技巧有些另类，当时某业界大佬提点了一下。当时真的真的没有理解到那种程度，现在可能也是没有理解到，但是我会努力。 本文章是理解于：http://netsecurity.51cto.com/art/201503/469621.htm 链接中的文章主要说的是什么？ 先愉快的介绍了DNS工作原理，注意其 阅读全文

摘要： 啊呀，上周忘了更新了。开篇时分，简短的深表歉意。 好了，现在开始配置DWVS。 0x00 配置DWVS 首先输入密码登陆，用户名admin，密码password 进入界面后选择，DVWA Security,级别选择LOW,然后提交。 然后选择Brute Force。开始暴力破解。红框里面是一些参考资 阅读全文

摘要： 各位好，本章介绍提供搜寻安全狗弱点的方法，方法只供参考。 0x00 搭建环境 用phpstudy 搭建的，各位肯定都会。如果不会就百度好了。 0x01 编写SQL注入漏洞脚本 我写的PHP脚本，制造一个SQL注入漏洞，然后将成功注入的SQL语句保存进文本。 0x03 安装安全狗并开日 安装安全狗过程 阅读全文

摘要： 首先欢迎新萌入坑。哈哈。你可能抱着好奇心或者疑问。DVWA 是个啥？ DVWA是一款渗透测试的演练系统，在圈子里是很出名的。如果你需要入门，并且找不到合适的靶机，那我就推荐你用DVWA。 我们通常将演练系统称为靶机，下面请跟着我一起搭建DVWA测试环境。如果你有一定的基础，可以直接看下面一章节。 0 阅读全文

摘要： 初学python脚本，写个工具练练手。第一次写勿喷。呃...忘了截图了，补上了。 程序对于处理 JSON post 有些问题，其他地方还没发现有啥问题。 阅读全文

摘要： 今天和朋友一起学习S02-45。按照官方解释：Content-Type：multipart/form-data 这个条件成立的时候，能够触发jakarta的上传漏洞。可能导致远程执行任意代码或者上传文件。 freebuf给出的POC如下： 提出payload为： 首先指定： 这个是为了触发漏洞的前提 阅读全文

摘要： 这回安装数据库装，做下记录。 1、下载mysql源安装包 2、安装mysql源 3、检查mysql源是否安装成功 4、安装MYSQL 5、启动MYSQL服务 6、设置开机启动 7、查看MYSQL临时密码 8、修改MYSQL默认密码 9、添加远程登陆用户 10、配置默认编码为UTF-8 11、开启防火 阅读全文