随笔分类 -  安全

pikachu--验证码绕过(on server)
摘要:文章内容简介:本文章是基于pikachu靶场的验证码绕过(on server),后台会把提交的验证码进行验证,看是否正确,但是该验证仍然有漏洞,因为其验证码可以重复使用,相当于未验证该验证码是否过期,所以使用burpsuit就可以在输入一次正确的验证码情况下,暴力破解密码。 一、查看验证码的情况,初 阅读全文
posted @ 2023-01-02 20:35 i-xy 阅读(490) 评论(0) 推荐(0) 编辑
pikachu--验证码绕过(on client)
摘要:文章内容简述:对密码进行暴力破解 客户端验证码的绕过。客户端验证码的绕过,原理主要是因为验证码的校验机制是在客户端本地的,也就是可以在本地的源码中可以看到的,所以这种验证码的绕过,可以通过burp suite进行抓包,然后修改回应包,将js代码删除就可以绕过验证码了,或通过其他方式,比如由于后台未对 阅读全文
posted @ 2022-12-31 12:17 i-xy 阅读(633) 评论(0) 推荐(0) 编辑
pikachu--基于表单的暴力破解
摘要:文章内容简介:运用burpsuit工具,实现对pikachu靶场的基于表单的暴力破解 一、在账号已知的情况下,对密码进行暴力破解 二、准备好含有正确密码的字典,以备后面的暴力破解 三、设置浏览器中的代理 四、用burpsuit拦截到密码 五、打开burpsuit中的Intruder 六、选中密码部分 阅读全文
posted @ 2022-12-29 15:02 i-xy 阅读(295) 评论(0) 推荐(0) 编辑
复现任务
摘要:1. 实验目的和要求 一、漏洞渗透测试 1、靶机(Windows)安装easy file sharing server(efssetup_2018.zip),该服务存在漏洞。 2、利用Nmap扫描发现靶机(Windows)运行了该服务。 3、利用该漏洞,使得靶机运行计算器。 二、Metasploit 阅读全文
posted @ 2022-11-22 21:49 i-xy 阅读(40) 评论(0) 推荐(0) 编辑
CTF 中Crypto 类的简单小题
摘要:文章简介: 密码的破解,通过符号对应的方式,锻炼了信息的查找能力。 注意到这里要求提交的flag既出现了大写,又出现了小写(即GU和T为大写,其余为小写) 打开题目图片,发现是看不懂的符号,考虑可能是希腊符号 百度搜索希腊字母后,果然出现了题目中有的符号 通过对比题目中的开头符号,我们发现正好就是G 阅读全文
posted @ 2022-11-19 19:54 i-xy 阅读(117) 评论(0) 推荐(0) 编辑
CTF 中Misc 类的简单小题
摘要:文章简介: 对加密的zip用kali中的工具进行破解 打开base.zip压缩包,发现需要密码 我们用kali的zip2john工具进行破解 执行命令:zip2john zip压缩包 >> hash.txt (首先将压缩包上传至kali机器,然后使用zip2john命令爆出hash文件) 然后执行命 阅读全文
posted @ 2022-11-19 19:46 i-xy 阅读(85) 评论(0) 推荐(0) 编辑
实验四 CTF实践
摘要:实验目的: 通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTP web服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。 系统环境: Kali 阅读全文
posted @ 2022-11-18 19:51 i-xy 阅读(177) 评论(0) 推荐(0) 编辑
实验三 XSS和SQL注入
摘要:实验目的: 了解什么是XSS; 了解XSS攻击实施,理解防御XSS攻击的方法; 了解SQL注入的基本原理; 掌握PHP脚本访问MySQL数据库的基本方法; 掌握程序设计中避免出现SQL注入漏洞的基本方法; 掌握网站配置。 系统环境: Kali Linux 2、Windows Server 网络环境: 阅读全文
posted @ 2022-11-18 17:36 i-xy 阅读(333) 评论(0) 推荐(0) 编辑
实验二 网络嗅探与身份认证
摘要:实验目的: 1、通过使用Wireshark软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、通过实验了解HTTP等协议明文传输的特性。 2、研究交换环境下的网络嗅探实现及防范方法,研究并利用ARP协议的安全漏洞,通过Arpsp 阅读全文
posted @ 2022-11-18 14:45 i-xy 阅读(282) 评论(0) 推荐(0) 编辑
实验一 网络扫描与网络侦察
摘要:实验目的: 理解网络扫描、网络侦察的作用;通过搭建网络渗透测试平台,了解并熟悉常用搜索引擎、扫描工具的应用,通过信息收集为下一步渗透工作打下基础。 系统环境: Kali Linux 2、Windows 网络环境: 交换网络结构 实验工具: Metasploitable2(需自行下载虚拟机镜像);Nm 阅读全文
posted @ 2022-11-18 14:09 i-xy 阅读(344) 评论(0) 推荐(0) 编辑
WinHex 可发现一些图片或文件的隐含信息
摘要:文章内容简介:用WinHex发现图片的隐含信息 一、取一张特殊的图片 我们正常打开,发现没有什么特殊的信息 二、用winhex打开 打开后,我们发现存在信息:tom is the killer... 总结: 有些图片看似可以正常,但是可能含有某些重要信息,我们用特殊的工具打开,可以发现这些隐藏信息。 阅读全文
posted @ 2022-11-11 18:45 i-xy 阅读(351) 评论(0) 推荐(0) 编辑
ZoomEye介绍及与 ZoomEye 功能类似的搜素引擎
摘要:文章内容简介:介绍与ZoomEye及与其相类似的搜索引擎 一、ZoomEye(钟馗之眼) 网址:https://www.zoomeye.org (1)国内互联网厂商知道创宇开放了他们的海量数据库,对之前沉淀的数据进行了整合、整理,打造了一个名符其实的网络空间搜索引擎ZoomEye,该搜索引擎的后端数 阅读全文
posted @ 2022-10-09 20:46 i-xy 阅读(2731) 评论(0) 推荐(0) 编辑
wireshark捕获ping数据
摘要:文章内容简介:用 wireshark 捕获 ping 的数据 一、打开wireshark ,过滤器中输入 icmp 二、打开终端控制台,输入 ping baidu.com 可以看到百度服务器的ip是 39.156.66.10 我的ip是 10.34.108.225 图中的Info记录了 reques 阅读全文
posted @ 2022-10-09 17:16 i-xy 阅读(741) 评论(0) 推荐(0) 编辑
不同网络连接模式下kali虚拟机的IP
摘要:文章内容简单介绍:分别观察kali虚拟机在 桥接模式 和 NAT模式 下的IP地址的变化 一、桥接模式 物理主机的IP地址通过观察后发现为 192.168.43.103 kali 虚拟机在桥接模式下的IP为 192.168.43.178 通过观察我们发现,kali虚拟机在桥接模式下 ,其IP地址与物 阅读全文
posted @ 2022-10-04 14:53 i-xy 阅读(513) 评论(0) 推荐(0) 编辑
wireshark捕获QQ图片文件
摘要:简单描述文章内容:将手机和电脑连接到同一子网(例如:同一wifi下), 然后用wireshark 对手机发过来的数据(QQ传输的图片文件)进行捕获, 再用winhex 重新修改后,打开该图片文件,可以看到刚刚手机通过QQ发给电脑的图片文件。 一、手机、电脑连接到同一子网,并获取手机IP 记录下手机的 阅读全文
posted @ 2022-10-04 13:35 i-xy 阅读(456) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示