摘要:
1.暴力破解攻击的基本流程: 2.一个有效的字典,可以大大提高暴力破解的效率 3.查看网站是否设置了防止暴力破解的规则 4.暴力破解漏洞测试流程: 5.字典的优化技巧: 6.burpsuite爆破的使用简介 7.通过实验来简单了解一下暴力破解的整个流程,打开pikachu靶场,在暴力破解页面提交请求 阅读全文
摘要:
SQLmap是一款自动化的SQL注入工具,可以用于检测和利用SQL注入漏洞,通过Sqlmap工具可以比较轻松的获取数据库中的相关数据,以下通过一个简单的测试案例简单介绍sqlmap的使用教程: 1.通过pikachu的sql盲注提交一个url请求,请求连接为: http://192.168.10.6 阅读全文
摘要:
1.当我们需要了解数据库表的内容时,需要对数据库的一些情况进行猜测,此时可以通过暴力破解的方式进行查看,在pikachu字符型注入输入框输入以下语句,猜测数据库内的表名: kobe' and exists(select * from aa)# 2.此时可以看到网页显示数据库表名不存在: 3.通过bu 阅读全文
摘要:
在通过访问端对服务器上传一句话木马的时候,我们需要对服务器进行部分操作: 1.打开服务器远程目录权限: (1)在windows服务器上,将文件夹的只读方式去掉; (2)在linux服务器上,将文件夹的权限改为pwd 2.开启数据库secure_file_priv权限 (1)我这里使用的是mysql5 阅读全文