摘要: 一、常用命令 检查注入点 sqlmap -u "http://ooxx.com/a.php?id=1" 列数据库信息 sqlmap -u "http://ooxx.com/a.php?id=1" --dbs 指定数据库名列出所有表 sqlmap -u "http://ooxx.com/a.php?i 阅读全文
posted @ 2021-03-17 17:23 guoccf 阅读(82) 评论(0) 推荐(0) 编辑
摘要: 介绍: 1、SQLMAP用来自动探测 SQL 注入漏洞的扫描器 2、SQL 注入:SQL语句不严谨,导致用户输入的内容打破了原有逻辑结构而产生的安全漏洞。 一、安装 python,配置环境变量,验证 python 环境安装成功 二、安装 SQLMAP 1、官网下载地址(推荐zip包):http:// 阅读全文
posted @ 2021-03-17 17:16 guoccf 阅读(143) 评论(0) 推荐(0) 编辑
摘要: 1、指定端口扫描 扫描所有端口耗时很长,通过 -p 参数来指定端口 nmap -Pn 指定主机 -p 指定端口 例:nmap -Pn 47.106.80.112 -p 80,443,22,21,8080,25,53 拓展:当nmap向目标发送报文并根据返回报文认定端口的状态有六种 (1)Open:端 阅读全文
posted @ 2021-03-17 17:11 guoccf 阅读(115) 评论(0) 推荐(0) 编辑
摘要: 简介: 1、Nmap(网络映射器)是一种与来探测计算机网络上的主机和服务的安全扫描器。Nmap会发送特制的数据报到目标主机上,然后分析其返回的数据报,从而达到绘制网络拓扑图的效果。 2、简单来说,Nmap是一款枚举和测试网络的强大工具,信息收集模块的神器,有主机探测、端口扫描、版本检测、系统检测以及 阅读全文
posted @ 2021-03-17 17:05 guoccf 阅读(46) 评论(0) 推荐(0) 编辑
摘要: 一、乱码 解决方法: 解决结果: 二、待续。。。 阅读全文
posted @ 2021-03-17 17:04 guoccf 阅读(81) 评论(0) 推荐(0) 编辑
摘要: 一、绕过前端限制 1、抓包 2、分析接口,上限20字符 3、修改参数:增加长度超过 20 注意:接口 15s 会超时,需要在 15s 内操作完毕 拓展: 参数修改成其他格式email=<img src=x onerror=alert(8905)> 二、暴力破解登录密码 1、抓包-登录接口 2、右键- 阅读全文
posted @ 2021-03-17 16:57 guoccf 阅读(130) 评论(0) 推荐(0) 编辑
摘要: 简述: 1、BurpSuite是一个辅助渗透的工具,集合了多种渗透测试组件,帮助测试人员自动化或手工完成对web应用的渗透测试和攻击。 2、简单地说,BurpSuite用来抓包改包、密码爆破、自动化漏洞探测、编码解码、被动扫描等等等 一、burpsuite 工具安装 1、下载:https://por 阅读全文
posted @ 2021-03-17 15:25 guoccf 阅读(841) 评论(0) 推荐(0) 编辑
摘要: 一、创建一个新的session 1、开始新的session 2、指定平台和设备名称 (1)点击Start Session,提示必填信息:平台和设备 (2)设备名称,通过adb devices命令获取 (3)输入平台和设备名称 3、Android 需要获取 appPackage 和 appActivi 阅读全文
posted @ 2021-03-02 16:29 guoccf 阅读(121) 评论(0) 推荐(0) 编辑
摘要: 1、安装 NodeJs (1)官网下载.msi文件,NodeJs版本>=10、npm>=6 官网:https://nodejs.org/en/download/ (2)网盘获取压缩包 链接: https://pan.baidu.com/s/1qkIugJULQOga4JZR2Xz40Q 提取码: v 阅读全文
posted @ 2021-03-02 11:45 guoccf 阅读(237) 评论(0) 推荐(0) 编辑
摘要: 简述:本地运行allure命令,需要安装python、jdk、pytest 一、安装python 可用pip命令安装第三方库pytest 二、安装pytest测试框架 1、安装pytest测试框架 pip install -U pytest 2、检查Pytest安装版本 pip show pytes 阅读全文
posted @ 2021-01-28 11:02 guoccf 阅读(501) 评论(0) 推荐(0) 编辑