台部落Crow

Medium級：由此可以看到，medium中，限定了文件的上傳類型，只允許JPEG或者是png格式的文件，直接上傳php文件會顯示失敗，所以這個時候需要使用burpsuit進行修改包。（法1）將文件修改爲pass.png，直接點擊上傳，然

2018-09-03 22:12:31

1. kali linux 系統版本查看命令：cat /etc/issue2. kali linux系統內核信息查看命令：uname -a

2018-09-03 22:12:28

unbantu16.04開啓ssh的方法和kali的有些不同，需要安裝ssh 服務使用命令個：sudo apt-get install openssh-server然後開啓ssh服務： service ssh start可以查看ssh服務

2018-09-03 22:12:26

Metasploitable漏洞演練系統是Metasploit團隊維護的一個集成了各種漏洞弱點的Linux主機(ubuntu)鏡像,這方便大家對於msf的學，以下以6667端口的unreal_ircd_3281_backdoor進行攻擊

2018-09-03 22:12:26

106

Command InjectionCommand Injection，即命令注入，是指通過提交惡意構造的參數破壞命令語句結構，從而達到執行惡意命令的目的。PHP命令注入攻擊漏洞是PHP應用程序中常見的腳本漏洞之一，國內著名的Web應用程序

2018-09-03 22:12:26

1.pub.key 打開之後就是這樣的-----BEGIN PUBLIC KEY-----MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMAzLFxkrkcYL2wch21CM2kQVFpY9+7+/AvKr1rzQc

2018-09-03 22:12:24

首先使用1,2,3,4,5都會返回用戶列表然後再使用1'進行判斷，發現報錯，既知道存在注入漏洞使用語句 1' and '1' ='1 的時候會出現正常：當輸入1‘ or '1'='1是，這個式子是個永真式，返回所有結果：分析字段數（兩種方

2018-09-03 22:12:23

進行源更換的時候走了很多的彎路，按照網上的教程，自己做的時候很多都是錯的1.當然是先切換到目錄 cd /etc/apt2.進行源備份（好習慣）cp source.list ./source.list.bak3.進行源替換（只需要一個就好）

2018-09-03 22:12:18

low等級的可以使用一句話木馬和中國菜刀低等級的沒有對於上傳做任何的過濾或者是防護，所以直接用一句話木馬進行上傳即可（相關原理可以參照其他大佬的）首先直接用一個txt裏面構造一句話木馬即可：（php）：<?php @eval($_POST

2018-09-03 22:12:16

可能要用到的參數：-u 指定URL--cookie 帶cookie注入爆庫：--dbs 發現所有數據庫（參數前有空格）列出數據庫：--tables 列出數據庫表（參數前有空格）-D

2018-09-03 22:12:16

Brute Force暴力破解一般指窮舉法，窮舉法的基本思想是根據題目的部分條件確定答案的大致範圍，並在此範圍內對所有可能的情況逐一驗證，直到全部情況驗證完畢。若某個情況驗證符合題目的全部條件，則爲本問題的一個解；若全部情況驗證後都不符合

2018-09-03 22:12:15

此時如果繼續使用這種格式進行上傳的話，會報錯。（法一）構造圖片一句話木馬，用getimagesize()函數識別測試（注意圖片大小儘可能的小，不然在上傳的時候會報錯）使用的是notepad++進行在尾部添加一句話木馬文件名稱是pass.p

2018-09-03 22:12:15

1.首先是使用命令切換： ~# cd /etc/ssh 查看配置文件2.使用vim進行編輯文件 vim ssh_config 找到其中的兩項 1. 將其修改 # PasswordAuthentication no 去掉其註釋，並且將

2018-09-03 22:12:15

XSSXSS，全稱Cross Site Scripting，即跨站腳本攻擊，某種意義上也是一種注入攻擊，是指攻擊者在頁面中注入惡意的腳本代碼，當受害者訪問該頁面時，惡意代碼會在其瀏覽器上執行，需要強調的是，XSS不僅僅限於JavaScri

2018-09-03 22:12:15