摘要: 拓扑图 导入虚拟机 网络配置 增加网卡 配置网卡 三台主机的密码均为1qaz@WSX,其中WEB在登录的时候需要切换用户de1ay登录 iP地址 DC PC 配置PC和WEB主机时,会弹框输入administrator/1qaz@WSX WEB DC 10.10.10.10 PC 10.10.10. 阅读全文
posted @ 2025-02-21 10:04 奕泽Yiz 阅读(4) 评论(0) 推荐(0) 编辑
摘要: 环境下载 下载靶场环境,并导入虚拟机分别是win2003、win7、winserver2008 配置网络 虚拟机——编辑——虚拟机网络编辑器——添加网络VMnet2——仅主机模式分配的地址是192.168.52.0 配置好地址后,需要将win2003和winserver2008的网卡设置为VMnet 阅读全文
posted @ 2025-02-19 14:55 奕泽Yiz 阅读(9) 评论(0) 推荐(0) 编辑
摘要: Cobalt Strike Cobalt Strike 安装JAVA环境 1.下载java1.8 地址: https://www.oracle.com/java/technologies/javase/javase8u211-later-archive-downloads.html 2.安装 在自己选取的VPS或者其他地方安装 阅读全文
posted @ 2021-11-30 23:00 奕泽Yiz 阅读(512) 评论(0) 推荐(0) 编辑
摘要: URL重定向 简介: HTTP 协议的重定向响应的状态码为 3xx 。浏览器在接收到重定向响应的时候,会采用该响应提供的新的 URL ,并立即进行加载; 大多数情况下,除了会有一小部分性能损失之外,重定向操作对于用户来说是不可见的。 不同类型的重定向映射可以划分为三个类别:永久重定向、临时重定向和特 阅读全文
posted @ 2021-03-11 09:56 奕泽Yiz 阅读(1093) 评论(0) 推荐(0) 编辑
摘要: 目录遍历 目录遍历(路径遍历)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 漏洞原理: 程序在实现上没有充分过滤用户输入的…/ 阅读全文
posted @ 2021-03-10 17:21 奕泽Yiz 阅读(830) 评论(0) 推荐(0) 编辑
摘要: 任意文件下载 由于业务需求,很多网站往往需要提供文件(附件)下载的功能块,但是如果对下载的文件没有做限制,直接通过绝对路径对其文件进行下载,那么,恶意用户就可以利用这种方式下载服务器的敏感文件,对服务器进行进一步的威胁和攻击。 漏洞危害: 通过任意文件下载,可以下载服务器的任意文件,web业务的代码 阅读全文
posted @ 2021-03-10 16:48 奕泽Yiz 阅读(614) 评论(0) 推荐(0) 编辑
摘要: 文件包含 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件中直接包含(引入)另外一个代码文件。 1.本地文件包含漏洞:仅能够对服务器本地的文件进行包含,由于服务器上的文件并不是攻击者所能够控制的,因此该情况下,攻击着更多的会包含一些 固定的系统配置文件 阅读全文
posted @ 2021-03-10 14:41 奕泽Yiz 阅读(119) 评论(0) 推荐(0) 编辑
摘要: RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。RCE分为远程连接命令执行ping和远程代码执行evel命令木马。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指 阅读全文
posted @ 2021-03-10 11:15 奕泽Yiz 阅读(290) 评论(0) 推荐(0) 编辑
摘要: CSRF 简介: CSRF跨站点请求伪造(Cross—Site Request Forgery) 在CSRF的攻击场景中攻击者会伪造一个请求(这个请求一般是一个链接),然后欺骗目标用户进行点击,用户一旦点击了这个请求,整个攻击就完成了。所以CSRF攻击也成为"one click"攻击。比如: 攻击者 阅读全文
posted @ 2021-03-10 10:22 奕泽Yiz 阅读(312) 评论(0) 推荐(0) 编辑
摘要: XSS不仅可以用来弹窗,也可以正在javascript代码里发挥想象进行自己构造 简介:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScr 阅读全文
posted @ 2021-03-09 17:04 奕泽Yiz 阅读(457) 评论(0) 推荐(0) 编辑
点击右上角即可分享
微信分享提示