上一页 1 ··· 3 4 5 6 7 8 下一页
2020年2月11日
关于蚁剑虚拟终端无回显问题
摘要: 今天请教了一下韩学长这个问题,记录一下 问题原因可能是: 1.服务器禁用了命令执行函数 2.服务器取消了命令回显 3.如果浏览器可以执行并且有结果回显,可能是服务端检测到了蚁剑的特征并拦截 4.请求超时,将时间设置到最大即可 先在浏览器测试了一下,发现可以成功回显。 再用蚁剑配合dnslog实验一下 阅读全文
posted @ 2020-02-11 18:56 beiwo 阅读(2577) 评论(0) 推荐(0)
2020年2月9日
buuoj_code_audit
摘要: [BUUCTF 2018]Online Tool 知识点:escapeshellarg()和escapeshellcmd()函数漏洞、nmap的文件写入 打开靶场就是代码审计 remote_addr和x_forwarded_for这两个是常见的服务器获取ip,问题应该不在这。 escapeshell 阅读全文
posted @ 2020-02-09 10:59 beiwo 阅读(351) 评论(0) 推荐(0)
buuoj_file_upload
摘要: [SUCTF 2019]CheckIn 进入靶场只有一个文件上传界面,上传php一句话木马提示非法后缀。 尝试利用php后缀的多样性绕过,发现都被过滤掉了,先把php改成.jpg的图片,提示说有问号在内容中。 php后缀的多样性:php语言除了可以解析以php为后缀的文件,还可以解析php2,php 阅读全文
posted @ 2020-02-09 10:20 beiwo 阅读(426) 评论(0) 推荐(0)
buuoj_sql
摘要: [FBCTF2019]Products Manager 一、知识点 1.数据库字符串比较 在数据库对字符串进行比较时,如果两个字符串的长度不一样,则会将较短的字符串末尾填充空格,使两个字符串的长度一致,比如,字符串A:[String]和字符串B:[String2]进行比较时,由于String2比St 阅读全文
posted @ 2020-02-09 10:11 beiwo 阅读(1020) 评论(0) 推荐(0)
2019护网杯baby_forensic
摘要: 题目名称:baby_forensic题目描述:can you catch the flag?附件:“data.7z” 2019护网杯初赛的一道取证题,比赛时没做出来,赛后又研究了一下。 获取profile的类型,因为不同的系统数据结构不一样,所以需要用--profile=来指定。 这里自动猜解可能的 阅读全文
posted @ 2020-02-09 10:00 beiwo 阅读(1191) 评论(0) 推荐(0)
2020年2月8日
Metasploit学习笔记——强大的Meterpreter
摘要: 1. Meterpreter命令详解 1.1基本命令 使用Adobe阅读器渗透攻击实战案例打开的Meterpreter会话实验,靶机是WinXP。由于所有命令与书中显示一致,截图将书中命令记录下来。 1.2文件系统命令 1.3网络命令 1.4系统命令 2.后渗透攻击模块 2.1persistence 阅读全文
posted @ 2020-02-08 14:21 beiwo 阅读(833) 评论(0) 推荐(0)
Metasploit学习笔记——社会工程学
摘要: 1.社会工程学攻击案例——伪装木马 Linux命令终端输入命令msfvenom -l payloads用来列出攻击载荷,grep命令用来查询所需要的攻击载荷,条件是windows系统、要有回连至监听主机的能力、支持后渗透攻击功能,示例代码如下 root@kali:~# msfvenom -l pay 阅读全文
posted @ 2020-02-08 14:08 beiwo 阅读(941) 评论(0) 推荐(0)
Metasploit学习笔记——客户端渗透攻击
摘要: 1.浏览器渗透攻击实例——MS11-050安全漏洞 示例代码如下 msf > use windows/browser/ms11_050_mshtml_cobjectelement msf exploit(windows/browser/ms11_050_mshtml_cobjectelement) 阅读全文
posted @ 2020-02-08 14:00 beiwo 阅读(977) 评论(0) 推荐(1)
Metasploit学习笔记——网络服务渗透攻击
摘要: 1.内存攻防技术 1.1缓冲区溢出漏洞机理 1.2栈溢出利用机理 1.3缓冲区溢出利用的限制条件 2.网络服务渗透攻击面 3. Windows服务渗透攻击实战案例——MS08-067安全漏洞 示例代码如下 msf > search ms08_067 在metasploit框架中查找ms08_06 n 阅读全文
posted @ 2020-02-08 13:54 beiwo 阅读(1462) 评论(0) 推荐(0)
Metasploit学习笔记——Web应用渗透技术
摘要: 1.命令注入实例分析 对定V公司网站博客系统扫描可以发现,它们安装了zingiri-web-shop这个含有命令注入漏洞的插件,到www.exploit-db.com搜索,可以看到2011.11.13网站公布了php渗透代码。 把这个代码放到kali中,执行命令php 18111.php 10.10 阅读全文
posted @ 2020-02-08 13:49 beiwo 阅读(631) 评论(0) 推荐(0)
上一页 1 ··· 3 4 5 6 7 8 下一页