确定靶机 攻击机 靶机 192.168.106.132 192.168.106.140 初步信息收集 端口信息 先初步确定开启的端口,然后针对端口确认版本服务信息,nmap漏扫脚本慢可以挂着先。 服务/端口 版本/信息 22/SSH OpenSSH 7.9p1 Debian 10+deb10u2 ( 阅读全文
posted @ 2025-04-18 15:03 XenoEcho 阅读(14) 评论(0) 推荐(0)
前言 最近很多师傅去面试HVV但是又缺少相关的安全设备经验。想要去了解但是苦于找不到门路。这时候不如尝试使用一些“软设备”来学习。结合国内一些厂商的的提供的社区版来搭建和使用。这里的WAF我就使用长亭的雷池,蜜罐话就用微步的Hfish。搭建的话都支持一件部署的。 雷池搭建 这里我直接举例自动安装,其 阅读全文
posted @ 2025-04-07 11:15 XenoEcho 阅读(255) 评论(0) 推荐(0)
确定攻击靶机 老样子先确定攻击靶机,多了个数据库服务 攻击机:192.168.38.128 靶机:192.168.38.131 信息搜集 web服务80/443 页面信息 为一个登录页面,尝试使用SQL注入1'or'1'='1就进去了存在Sql注入。不过页面目前没发现什么东西。 目录扫描到一个路径访 阅读全文
posted @ 2025-02-19 15:51 XenoEcho 阅读(36) 评论(0) 推荐(0)
简述 前段时间推出的DeepSeek R1推理模型,与传统的大型语言模型有些不同,它能模拟逐步思考的过程,将复杂问题分解为更小的逻辑步骤,再得出解决方案,在数学推理、编程辅助和决策制定等需要深度理解的任务上表现更出色。这里也提供了两种方法来本地运行官方开源的模型。 文章文件 喜欢的朋友可以关注一下公 阅读全文
posted @ 2025-01-31 10:28 XenoEcho 阅读(5131) 评论(0) 推荐(0)
查找注入点 注入点不仅仅局限于网页上可见的输入框,而是取决于请求包中传递的值。这些值可以存在于: URL 中的 GET 传参: 参数直接显示在 URL 中,例如 http://longyusec/index.php?id=1。 POST 传参: 用于传输大量数据或敏感信息,参数值在请求体中,例如提交 阅读全文
posted @ 2025-01-17 23:59 XenoEcho 阅读(1704) 评论(0) 推荐(0)
确认攻击靶机 靶机和攻击机都为nat模式为同一个网段,直接对网段进行扫描 信息搜集 注意到开启了web服务信息搜集一波 dirp目录扫描 dirsearch目录扫描 whatweb指纹 新信息Red Hat Linux Nmap获取版本信息 确认服务版本,不过没有显示139端口的服务信息 尝试使用s 阅读全文
posted @ 2025-01-07 19:34 XenoEcho 阅读(23) 评论(0) 推荐(0)
简介 介绍 Kali Linux 2024.3 版本,新增了 11 款安全工具之一,SQLMC(SQL Injection Massive Checker)一款用于扫描域以查找 SQL 注入漏洞的工具。它能按照指定深度抓取给定的 URL,检查每个链接是否存在 SQL 注入漏洞,扫描和检测域中可能存在 阅读全文
posted @ 2025-01-04 19:39 XenoEcho 阅读(121) 评论(0) 推荐(0)
问题描述 在使用Burp Sutie应该都会出现的一个问题就是光标位移,如下图光标位置应是位于0.7的后面,但是在显示在0的后面。原因是因为显示器分辨率过大,软件自适应缩放导致的。 解决方法 手动设置软件分辨率 方法一 在启动的脚本-jar前面里添加参数 调整程序缩放设置为1,注意每个参数之间需要有 阅读全文
posted @ 2025-01-03 17:17 XenoEcho 阅读(145) 评论(0) 推荐(0)
设置显示大小 在设置里面找到HiDPI,打开点击yes即可正常显示 设置apt国内软件源 推荐使用:阿里源、中科大 sudo vim /etc/apt/sources.list #非root用户使用sudo输入的密码为开机的密码 打开后按gg回到第一行,再按dG删除所有内容,将准备好的镜像源shif 阅读全文
posted @ 2025-01-01 02:21 XenoEcho 阅读(113) 评论(0) 推荐(0)
浙公网安备 33010602011771号