摘要:
作为一位致力于安全的渗透小伙伴。在学习一些渗透知识后不知道怎么利用。那么现在我们浅谈一下。 对于渗透来说。简单分为以下几部分 明确目标 明确范围 确认ip,域名,内外网等 明确规则 确认渗透时间,是否上传木马文件,是否提权等 确认需求 web应用漏洞?线上漏洞?业务漏洞?人员权限漏洞?等 简单理解就 阅读全文
摘要:
Cobalt Strike 是一款美国 Red Team 开发的渗透测试神器,常被业界人称为 CS。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket 代理,office 攻击,文件捆绑,钓鱼等功能。同时,Cobalt Stri 阅读全文
摘要:
简介 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人 原理 攻击者通 阅读全文
摘要:
Web应用扫描工具 AWVS 系统扫描工具 Nmap Nessus 扫描工具对比 扫描工具功能对比 测试功能 扫描结果对比 阅读全文
摘要:
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 ps:在搭建靶场时。需要在文件目录手动创建一个名为upload的目录,用于上传文件的存放目录。 Pass 01 阅读全文
摘要:
Web入侵先遣—SQL注入攻击技术初探 SQL注入式攻击技术,一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务器端,从而获取想要的敏感信息,甚至执行危险 阅读全文
摘要:
第一篇MSF使用简介及命令使用 1.1 什么是Metasploit Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称MSF。是一个免费、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数2000多个已知软件漏洞的 阅读全文
摘要:
先献上github地址 https://github.com/spf13/viper 什么是viper,为什么选用viper,让我们看看官方的说法 大概意思就是viper 兼容多种格式的配置文件,使用简单 既然如此。那我们学习一下viper的使用 第一步 安装 go get github.com/s 阅读全文
摘要:
!!!本文章只用于学习交流。如有非法使用。本人不负责任第一步:请求sign接口获取dfp参数第二步:请求login.action接口看是否需要弹出滑块,如果需要就要获取token第三步:请求sbox_init_key接口获取sig,sid,sr三个参数第四步:请求nitpage接口获取滑块数据第五步 阅读全文