摘要:
Linux | 3个文件查找命令详解 我们有时候需要在linux要查找某个文件,但不知道放在哪里了,就可以使用以下的一些命令来搜索(今天主要讲的是前三个): which 查看可执行文件的位置。 whereis 查看文件的位置。 locate 配合数据库查看文件位置。 find 实际搜寻硬盘查询文件名 阅读全文
摘要:
SQL注入详细步骤讲解 1、Get型 整型与字符型注入判断: 举例: http://xxx/xxx/Less-1/?id=1 and 1=1 --+ 输入?id=1 and 1=1 --+正常,输入?id=1 and 1=2 --+报错,可判断为整型注入。 http://xxx.xxx/Less-1 阅读全文
摘要:
简介 CUPP是一个非常强大的工具,专门为一个人创建一个词汇表。它是用Python编写需要python3环境才能运行。CUPP会向你询问有关目标(姓名,妻子姓名,宠物名称......)的问题,然后根据您输入的关键字创建一个密码。 安装及使用 kali并未默认安装,所以先安装,命令如下: apt-ge 阅读全文
摘要:
常用渗透流程 信息收集: 1. 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等); 2. 网站指纹识别(包括,cms,cdn,证书等),dns记录; 3. whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等); 4. 子域名收集,旁站,C段等; 5. google 阅读全文
摘要:
sql注入的分类 按数据类型分类: 整型注入和字符型注入。 整型注入和字符型注入的区别 整形注入: ?id = 1 and 1 = 1 //页面无变化 ?id = 1 and 1 = 2 //页面回显报错 字符型注入: ?id = 1’ and 1 =1 # //页面无变化 ?id = 1’ and 阅读全文
摘要:
前言 不管用什么语言编写的Web应用,它们都用一个共同点,具有交互性并且多数是数据库驱动。在网络中,数据库驱动的Web应用随处可见,由此而存在的SQL注入是影响企业运营且最具破坏性的漏洞之一。 一、基本介绍 结构化查询语言(StructuredQueryLanguage,缩写:SQL),是一种特殊的 阅读全文
摘要:
前言 信息收集对于渗透测试来说,是渗透前期所要做的准备,正所谓“知己知彼百战百胜”,正因为我们掌握了目标做够多的信息,才能更好的保障其安全性。 信息收集的方式可以分为两种:主动信息收集和被动信息收集。 1. 主动信息收集:通过直接访问、扫描网站,这种流量将流经网站。 2. 被动信息收集:利用第三方的 阅读全文
摘要:
这篇与上一篇的win7主机加固内容大体类似,部分有些不同。这篇也可以用来尝试加固windows XP。 1. 配置管理 1.1用户策略 注意:在对Windows系统加固之前先新建一个临时的系统管理员账号;用来恢复加固中可能出现的问题 1.1.1 用户权限策略配置(适用于服务器或公用工作站) 1.按下 阅读全文