摘要:
网站解析对应 简要网站搭建过程: 教学地址 涉及到的攻击层面? 源码,搭建平台,系统,网络层等 涉及到的安全问题? 目录,敏感文件,弱口令,IP以及域名 HTTP/S数据包 Request 请求数据包 Proxy 代理服务器 Response 返回数据包 关于HTTP和HTTPS 1.HTTP和HT 阅读全文
摘要:
域名 1.什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称 阅读全文
摘要:
下载地址 Typora下载地址:https://www.typora.net/ PicGo下载地址:https://github.com/Molunerfinn/PicGo/releases gitee(码云)官网:https://gitee.com/ 创建码云仓库 1.注册码云账号,在gitee上 阅读全文
摘要:
RCE(remote command/code execute)概述: RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 系统命令拼接 windows “|”:管道符,前面命令标准输出,后面命令的标准输入。例如:help |more “&” commandA 阅读全文
摘要:
一、sqlmap工具命令 -r 指定参数post注入 sqlmap.py -r post.txt -p 注入参数 -u get注入,后面直接接一个url连接 --level = LEVEL 执行测试的等级(1-5,默认为1),使用–level 参数且数值>=2的时候也会检查cookie里面的参数,当 阅读全文
摘要:
一、SQL注入分类 根据注入位置数据类型可将SQL注入分为两类:数字型和字符型 例如: 数字型:select * from table where id = 用户输入id 字符型:select * from table where id = '用户输入id' 二、GET基于报错的SQL注入发现 通过 阅读全文
摘要:
一、Mysql 5.x数据结构 在Mysql 5.0以上的版本中,为了方便管理员,默认定义了 information_schema数据库,用来存储数据库元信息。其中具有表 schemata(数据库名)、tables(表名)、columns(列名或字段名) 在schemata表中,schema_nam 阅读全文
摘要:
一、注入攻击的原理: 注入产生的原因是接受相关参数未经处理直接带入数据库查询操作 二、万能密码及其原理 登录SQL语句:select * from admin where username = '用户输入的用户名' and password = '用户输入的密码' 用户输入的内容可由用户自行控制,例 阅读全文
摘要:
一、初识MSF 1、什么是Metasploit Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称MSF。是一个免费、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数2000多个已知软件漏洞的专业级漏洞攻击工 阅读全文
摘要:
一、渗透测试与入侵的最大区别: 渗透测试:出于保护系统的目的,更全面地找出测试对象的安全隐患。 入侵:不择手段地(甚至是具有破坏性的)拿到系统权限。 二、一般渗透测试流程 2.1 明确目标 确定范围:测试目标的范围,IP,域名,内外网 明确规则:能渗透到什么程度,时间,能否修改上传,能否提权等。 确 阅读全文