摘要: 一、 安卓应用攻击概览 1. 安卓应用简介 根据开发方式的不同,安卓应用大致分为三种。Web应用、原生应用、混合应用 Web应用 Web应用是通过使用JavaScript、HTML5等Web技术来实现交互、导航以及个性化功能的。Web应用可以在移动设备的Web浏览器中运行,并通过向后台服务器请求We 阅读全文
posted @ 2020-04-26 22:48 情殇王子 阅读(2357) 评论(0) 推荐(0) 编辑
摘要: 一、 实验环境搭建 1. 安装JDK 2. 安装Android Studio 3. 模拟器或真机 我的是夜神模拟器和nexus 工具 Apktool 下载地址:https://ibotpeaches.github.io/Apktool/ 下载完成直接保存打开,启动apktool,使用下面命令查看选项 阅读全文
posted @ 2020-04-26 09:42 情殇王子 阅读(8514) 评论(4) 推荐(0) 编辑
摘要: 使用burp suite 抓取手机端流量 1. 设置burp suite代理 2. 设置手机无线代理 3. 下载证书 4. 安装证书 5. 抓包测试 可以完美抓包了…… 阅读全文
posted @ 2020-04-15 10:24 情殇王子 阅读(626) 评论(0) 推荐(1) 编辑
摘要: NTLM v2协议 NTLM v1与NTLM v2最显著的区别就是challenge与加密算法不同,共同点就是加密的原料都是NTLM Hash。 不同之处: Challenge:NTLM v1的challenge有8位,NTLM v2的challenge为16位。 Net-NTLM Hash:NTL 阅读全文
posted @ 2020-02-19 18:15 情殇王子 阅读(710) 评论(0) 推荐(0) 编辑
摘要: 彻底理解Windows认证 一、Windows本地认证 1. 我的密码在哪里? 路径:C:\Windows\System32\config\SAM 当我们登录系统的时候,系统会自动的读取SAM文件中的“密码”与我们输入的“密码”进行对比,如果相同,证明认证成功。 2. NTML(NT LAN Man 阅读全文
posted @ 2020-02-18 16:38 情殇王子 阅读(757) 评论(0) 推荐(0) 编辑
摘要: kali安装mongodb 1. 从官网下载需要的安装包 官网下载地址:https://www.mongodb.com/download-center/community 下载完后可以直接用xshell登录kali,用rz命令传输到服务器上或者直接下载到kali里面。 2. 解压安装 tar zxf 阅读全文
posted @ 2020-01-03 14:31 情殇王子 阅读(4258) 评论(0) 推荐(1) 编辑
摘要: 以管理员身份运行cmd,切换到Nessus的安装目录,执行以下操作。 阅读全文
posted @ 2019-12-31 09:34 情殇王子 阅读(2020) 评论(0) 推荐(0) 编辑
摘要: 手工注入常规思路 1.判断是否存在注入,注入是字符型还是数字型 2.猜解 SQL 查询语句中的字段数 3.确定显示的字段顺序 4.获取当前数据库 5.获取数据库中的表 6.获取表中的字段名 7.查询到账户的数据 information_schema数据库表说明 SCHEMATA表:提供了当前mysq 阅读全文
posted @ 2019-11-21 09:41 情殇王子 阅读(429) 评论(0) 推荐(2) 编辑
摘要: 什么是命令执行漏洞 命令执行漏洞是指攻击者可以随意执行系统命令。 命令执行漏洞的原理 脚本语言有点事简洁,方便,但也伴随一些问题,比如运行速度慢,无法接触系统底层,如果我们开发的应用(特别是企业级的一些应用)需要除去web的特殊功能时,就需要调用一些外部程序。在应用需要去调用外部程序去处理的情况下, 阅读全文
posted @ 2019-11-14 14:35 情殇王子 阅读(740) 评论(0) 推荐(0) 编辑
摘要: 什么是文件包含漏洞 PHP文件包含漏洞的产生原因是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。最常见的就属于本地文件包含(Local File Inclusion)漏洞了。 程序开发人员一般会把重复使用的函数 阅读全文
posted @ 2019-11-13 20:33 情殇王子 阅读(409) 评论(0) 推荐(0) 编辑