摘要：常见的三种方法 第一种：修改目录配置（将indexes去掉） 只需要将下图代码中的 Indexes 去掉，就可以禁止 Apache 显示该目录结构。用户就不会看到该目录下的文件和子目录列表了。 Indexes 的作用就是当该目录下没有 index.html 文件时，就显示目录结构，去掉 Indexe 阅读全文

摘要：做完了pikachu平台的实验了，回想了一下这两个长的好像，那他们有啥区别和各自的特点吗？ 本文是在基于网上的知识，自己总结学习的。 CSRF(跨站请求伪造)，Cross-site requestforgery 听到跨站，我们会想到xss(Cross-Site Scripting)的跨站脚本攻击， 阅读全文

摘要：Proxifier/ProxyChains+reGeorg内网代理 当我们拿到目标边界服务器权限，想要进一步深入内网就需要做流量代理，将我们的流量代理到目标内网当中，这样才能探测内网中的其他服务器。而reGeorg可以帮我们做这件事。无论是在windows平台下使用还是Linux平台下使用，都是需要 阅读全文

摘要：Lcx实现内网端口转发 lcx是一款端口转发工具，有三个功能，第一个功能将本地端口转发到远程主机某个端口上（前提需要公网ip）； 第二个功能将本地端口转发到本地另一个端口上；第三个功能是进行监听并进行转发使用。 案例：肉鸡1只开放了80端口，没有开放3389端口，我们将他的3389转发到自己的外网机 阅读全文

摘要：Metasploitable2 虚拟系统是一个特别制作的ubuntu操作系统，本身设计作为安全工具测试和演示常见漏洞攻击。这个版本的虚拟系统兼容VMware，VirtualBox,和其他虚拟平台。默认只开启一个网络适配器并且开启NAT和Host-only，本镜像一定不要暴漏在一个易受攻击的网络中。 阅读全文

摘要：1. 前台脚本检测扩展名 我们可以查看一下网页源代码，看扩展名是否在前端有显示。 是的话，我们就可以上传一个扩展名为.jpg(等图片的扩展名)利用burpsuite，修改扩展名为.php，会成功上传 2. 服务器验证content-type检测文件类型 上传一个.php文件，利用burpsuite改 阅读全文