原创 windows下搭建webserver(apache2.4+mysql5.7+php5.6)
搭建準備 環境 windows 7 (64) 中間件 Apache 2.4 數據庫 MySQL 5.7.15 腳本語言:PHP 5.6.26 運行庫 VC 2012 VC 2015 在配置之前需要先了解下各個安裝軟件之間版本的搭配問題
2020-07-05 23:21:40
原创 SQL注入--Oracle
1.判斷是否爲oracle數據庫 id=88 and exists(select *from dual) id=88 and exists(select *from user_tables)這兩個表都是系統表,返回正常則爲oralce數據
2020-07-05 23:21:40
2
原创 WEB滲透測試之查點
通過踩點可瞭解到我們要進行的滲透測試的網站是怎麼樣的結構,識別了網站域名等目標範圍清單。 接下來的查點,是對目標的WEB SERVER,服務器語言,開源程序框架、名單,敏感文件或功能點等網站技術整體做一個詳細更爲充分的探查。 爲何查點:查
2020-07-05 23:21:40
6
原创 防火牆基礎和iptables基本配置
1.從瞭解iptables開始 iptables 與最新版本Liunx內核集成的ip信息包過濾系統。 該系統是一種強大的工具可用於添加、編輯和除去規則,這些規則是做信息包過濾決定的,防火牆所遵循和組成的規則。這些規則存儲在專用的信息包過濾
2020-07-05 23:21:40
原创 防掃描配置與弱口令利用,檢測和防禦
不同服務都有一些具有各自服務特色弱口令,有一部分是安裝時的默認密碼。比如MySQL數據庫的默認密碼爲空;FTP根據其工具不同而具體機組默認賬號密碼,如“賬號:ftp 密碼 ftp”、“賬號 anonymous 密碼 anonymous/空
2020-07-05 23:21:40
2
原创 代碼注入漏洞以及修復方法
1.漏洞概述 PHP代碼執行漏洞指應用程序本身過濾不嚴格,用戶可以通過請求將代碼注入到程序中執行,類似於SQL注入漏洞,可以把SQL語句通過網頁注入到SQL服務執行,而PHP代碼執行漏洞則是可以把代碼注入應用到網站後端中,如果漏洞沒有特殊
2020-07-05 23:21:40
1
原创 SQL注入--sqlmap自動化注入工具
小編使用的是kali2.0的系統,自帶sqlmap1.0版本 相對於手工注入,自動化工具更加快捷不用反覆寫入SQL語句,但是不如手工注入的靈活性好,二者各有千秋,在適合的時候使用適合的方法才能擁有最高的工作效率 簡單的使用過程如下 後邊我
2020-07-05 23:21:40
1
原创 手把手教你PHP--part3
今天帶來的是也是PHP中的一種常見的數據類型,字符串 二.字符串 先來創建一個字符串吧: $str='abcd';printf()輸出格式化字符串;$str1=sprint()把格式化的字符串寫入一個變量 1.常用字符串格式化函數 ltr
2020-07-05 23:21:40
原创 漏洞掃描工具Nmap的使用
小編今天瀏覽了一篇非常好的博客,發現了Nmap這個神奇的漏洞掃描軟件。 這是一款免費的網絡發現和安全審計工具,用於列舉網絡主機清單、管理服務升級調度、監控主機或服務運行狀況。可檢測主機是否在線、端口開放情況: 監測操作系統與設備類型等信息
2020-02-24 22:20:46
1
原创 SQL注入--MySql
判斷是否爲Mysql /*!%20s*/ 錯誤則是MySQL /*!40000%20s*/ 錯誤則版本大於4.0 (大於4.0支持UNION注入) /*!60000%20s*/ 正常則版本小於6.0 /*!50130%20s*/ 錯誤則版
2020-02-24 22:20:35
原创 手把手教你PHP--part1
今天開始接觸PHP了,這真的是個非常好的語言,首先沒有類型的設置,非常鬆散,合小編的這種不喜歡聲明的懶人。其次搭載XAMPP或者小旋風就可以完成代碼測試,非常方便。下載鏈接將在最後給出。 1.PHP基本框架: <?php ?> <scri
2020-02-24 22:20:35
原创 WEB滲透測試之踩點
之前的工作太繁忙了就沒時間更新博客,今天開始我來講講WEB滲透測試的事情 關於踩點: 對於一個專業的白帽子來說,在開始真正的滲透測試之前,必須完成滲透測試的的信息收集。最首先的自然是踩點了,即對指定目標進行系統的的網站信息收集,攻擊者儘
2020-02-24 22:20:25
原创 基線安全與linux基線加固方法
1.基線 即安全基線配置,諸如操作系統、中間件和數據庫的一個整體配置,這個版本中各項配置都符合安全方面的標準。比如在系統安裝後需要按安全基線標準,將新機器中各項配置調整到一個安全、高效、合理的數值。 2.基線掃描 使用自動化工具、抓
2020-02-24 22:20:25
原创 手把手教你PHP--part2
小編由於爲非法脫庫做善後,停更了幾天,向大家說聲抱歉,今天給大家帶來的是非常有營養的東西,那就是數組。 先來介紹下數組吧 一.數組 在PHP中,數組可以簡單劃分爲索引數組和關聯數組。索引數組即以0-9位數組成的下標(索引值);關聯數組則是
2020-02-24 22:20:25
原创 國內滲透測試新神器--北極熊掃描器4.0
昨天 FreeBuf上有作者分享了一款好用的國產滲透測試神器 北極熊 4.0版本 下面是對這款掃描器的使用的簡單指南 添加URL後會自動監測網站的Banner和system版本 在這裏進行掃描的設置,選擇期望去監測何種漏洞。選擇掃描的
2020-02-24 22:20:25