摘要:
82 阅读全文
摘要:
工具介绍 Burp Suite 是用于攻击web 应用程序的集成平台,包含了许多工具 官网:https://portswigger.net/burp 安装教程 安装 OpenJDK 15 Java 旧版可能会无法打开 Burp。装了 JDK 可以把 JRE 卸了,因为 JDK 包含 JRE。JRE 阅读全文
摘要:
介绍 Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身 项目地址:https://vulhub.org/ 安装教程 配置yum源 备份系统yum 下载最新的 阅读全文
摘要:
前期准备 安装环境:windows server 2016、phpstudy 项目地址:https://github.com/zhuifengshaonianhanlu/pikachu 安装步骤 1、将压缩包解压,放在phpstudy的WWW文件夹下 2、重命名 3、开启phpstudy,打开浏览器 阅读全文
摘要:
前言 本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容 思维导图 实际应用:CTF,SRC,红蓝对抗,实战等 以上漏洞危害情况 阅读全文
摘要:
渗透测试思路-思维导图 操作系统层面 识别操作系统。有网站可以通过网站识别,没有网站通过其他扫描识别 有网站操作系统识别 利用windows不区分大小写,linux区分大小写特性,更改URL大小写看能不能正常访问 无网站操作系统识别 通过TTL值判断,ping命令查看,此方法不太准确 利用工具,如n 阅读全文
摘要:
前言 WEB 源码在安全测试中是非常重要的信息来源,可以用来代码审 计漏洞也可以用来做信息突破口,其中 WEB 源码有很多技术需要简明分析。 比如:获取某 ASP 源码后可以采用默认数据库下载为突破,获取某其他脚本 源码漏洞可以进行代码审计挖掘或分析其业务逻辑等,总之源码的获取将为 后期的安全测试提 阅读全文
摘要:
Windows Server 2003-IIS6.0搭建 IP解析和域名解析 通过IP访问网页,对应到WWW根目录 通过域名访问网页,对应到网站存放目录 扫描敏感路径可以通过扫描IP地址,获取更高一级目录信息 验证 1、phpStudy配置域名解析,非申请域名,因此需要配置本地hosts,配置完后本 阅读全文