原创 必刷靶機sql-labs之通關筆記(二)
前言 上篇已經熟悉了一些注入思路,擱置比較久了今天來複習一下sql注入,通過實踐然後總結是我覺得比較好的學習方法,所以記一些筆記供我以後參考自己思維錯在哪應該怎麼避免怎麼改正,收穫又在哪!!! Less-11 先使用admin弱密
2020-03-15 21:21:08
原创 python解決盲注和延遲注入筆記
python解決盲注和延遲注入筆記 requests模塊 要用python解決這一問題需要了解request這個模塊,我下載的是pycharm所以自帶這個模塊不用安裝,需要安裝的話 pip install requests pi
2020-03-15 21:21:08
原创 爲學提權攻克的DC-1靶機筆記
網上有許多教程不完整而且不怎麼細膩,對我們小白很不友好,今天刷完這個靶機馬上拿小本本記下來。 vulnhub是一個特別好的滲透測試實戰網站,裏面有許多靶機可以下載,也是小白必刷靶機,比如我,下載地址: https://www.vu
2020-03-08 23:48:56
原创 後知後覺的信息收集重要性
信息收集 當我意識到信息收集對於滲透測試的重要性的時候,聽了一節課 才爲自己來整理一下思路,也能可以讓我自己發現這麼重要的一步我遺漏了什麼,每次我對信息收集的新認識會來補充整理的。 分類: * 主動信息收集 * 被動信息收集 漏
2020-03-08 23:48:46
原创 緩衝區溢出攻擊(Buffer Overflows實驗筆記)
緩衝區溢出是什麼? 緩衝區溢出是指當計算機向緩衝區內填充數據位數時超過了緩衝區本身的容量溢出的數據在合法數據上,理想的情況是程序檢查數據長度並不允許輸入超過緩衝區長度的字符,但是絕大多數程序都會假設數據長度總是與所分配的儲存空間相
2020-03-07 07:11:08
原创 SSRF之bee-box練習
SSRF (Server-side Request Forgery,服務器請求僞造)漏洞,是一種攻擊者構造請求,是一種攻擊者發起的僞造由服務器發起請求的一種攻擊。 SSRF危害 * 端口掃描 * 利用file文件協議 讀取本地文
2020-03-02 15:34:02
原创 XSS challenge通關筆記
XSS challenge通關筆記 ps:小白一名,有問題請指教 XSS訓練平臺點這裏 XSS(cross site scripts) 是指惡意攻擊者利用網站沒有對用戶提交數據進行轉義或者過濾不足的缺點,進而添加一些代碼,嵌入到w
2020-03-02 15:34:02
1
原创 必刷靶機sqlilab通關筆記(一)
小記 針對如何學習SQL注入,我自己總結的三個大步驟: 1. 漏洞的判斷檢測和分類 2. 利用漏洞可以進行的攻擊 3. 如何防禦這些攻擊 ps:以下指的是MySQL注入,MySQL數據庫需要注意的一點: MySQL5.0以下:這個
2020-03-02 15:34:02
原创 XEE之bee-box練習
前言 下載好靶機環境打開即可bee-box 虛擬機版本直接打開就可,在使用之前會有鍵盤亂序的問題,網上有修改教程很簡單修改一下就好啦; 做實驗之前先大致介紹XEE攻擊(看了一個學習視頻總結的): 首先當然是要了解xml是什麼: X
2020-03-02 15:34:02