2023年11月11日
DVWA文件上传中级渗透流程(手把手教你)
摘要: 由于中级难度在前端页面进行了过滤,不允许php文件进行上传。所以我们需要在前端页面进行绕过,从而把文件上传到后端。首先在kali环境将kali用户切换到root管理员用户密码为kali打开burp抓包软件,burp软件能够在前端验证通过后,数据传到后端之前对数据包拦截,可以对数据包进行修改优化后再发 阅读全文
posted @ 2023-11-11 16:11 i苏沐辰 阅读(243) 评论(0) 推荐(0)
DVWA文件上传低级渗透流程(手把手教你)
摘要: 低级的文件上传环境没有进行过滤,所以可以直接上传一个php的木马文件,然后使用工具进行连接,进而获取到目标机器的图形化界面首先创建一个php的一句话木马文件保存为php格式,确定保存进入到上传文件的页面将方框内的相对路径复制粘贴到URL后面即可获得木马文件的绝对路径进入后若为空白页面,表示文件上传成 阅读全文
posted @ 2023-11-11 16:09 i苏沐辰 阅读(207) 评论(0) 推荐(0)
2023年7月20日
webshell工具流量特征
摘要: # 常见的webshell管理工具及流量特征 ## 菜刀 作为老牌 Webshell 管理神器,中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。 最开始使用明文传输,后来采用base64加密 ##### UA字段 通常为百度,火狐 阅读全文
posted @ 2023-07-20 11:58 i苏沐辰 阅读(1027) 评论(0) 推荐(2)
2023年7月19日
python爬取网页图片脚本
摘要: ## 使用python编写网页图片的爬取脚本 ### 环境搭建: 首先搭建一个web服务器 安装phpstudy ![image](https://img2023.cnblogs.com/blog/2772126/202307/2772126-20230719221025246-1276801721 阅读全文
posted @ 2023-07-19 22:12 i苏沐辰 阅读(257) 评论(0) 推荐(0)
蜜罐
摘要: 什么是蜜罐? 蜜罐是一种主动防御技术,通过主动的暴露一些漏洞、设置一些诱饵来引诱攻击者进行攻击,从而可以对攻击行为进行捕获和分析。 蜜罐的原理 蜜罐可以故意暴露一些易受攻击的端口,使这些端口保持在开放状态,主动诱使攻击者进入蜜罐环境中,而不是进入真实的系统。一旦攻击者进入蜜罐环境中,就可以连续跟踪攻 阅读全文
posted @ 2023-07-19 09:53 i苏沐辰 阅读(217) 评论(0) 推荐(0)
2023年7月18日
防火墙(iptables与firewalld)
摘要: # 防火墙 ## iptables 疏通和堵 > 进行路由选择前处理的数据包:prerouting > > 处理流入的数据包:input > > 处理流出的数据包:output > > 处理转发的数据包:forward > > 进行路由选择后处理的数据包:POSTROUTING 允许, 拒绝, 允许 阅读全文
posted @ 2023-07-18 21:12 i苏沐辰 阅读(83) 评论(0) 推荐(0)
XSS
摘要: # XSS 漏洞(js代码可控) XSS 被称为跨站脚本攻击(Cross-site scripting),本来应该缩写为CSS,但是由于和CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(JS)完成恶意的攻 阅读全文
posted @ 2023-07-18 20:49 i苏沐辰 阅读(83) 评论(0) 推荐(0)
CSRF与SSRF
摘要: # CSRF与SSRF ## CSRF(跨站请求伪造) 跨站请求伪造(Cross-site request forgery,CSRF),它强制终端用户在当前对其进行身份 验证后的Web应用程序上执行非本意的操作。CSRF攻击的着重点在伪造更改状态的请求,而不是盗取数据,因为攻击者无法查看对伪造请求的 阅读全文
posted @ 2023-07-18 20:34 i苏沐辰 阅读(73) 评论(0) 推荐(0)
SQL注入
摘要: # sql注入 ## sql 注入原理 针对 SQL 的攻击行为可以描述为通过用户可控参数中注入 SQL 语法,破坏原有 SQL 结构,达到编写程序时意料之外结果的攻击行为,其成因可以归结为以下两个原因叠加造成的: 1、程序编写者在处理程序和数据库交互时,使用字符串拼接的方式构造 SQL 语句。 2 阅读全文
posted @ 2023-07-18 15:56 i苏沐辰 阅读(55) 评论(0) 推荐(0)
2023年7月17日
Fastjson反序列化
摘要: # Fastjson反序列化漏洞 fastjson是阿里巴巴公司推出的一个用于快速处理json数据的java类库,这个库由于在传输json数据的时候,中间有一个标识,这个标识允许用户传入一个类名,因此攻击者可以传入他想要执行的类,通过执行这个类,调用rmi方法,去执行他部署的一个恶意方法 ## js 阅读全文
posted @ 2023-07-17 21:05 i苏沐辰 阅读(148) 评论(0) 推荐(0)
下一页