1. Sqlmap SQLmap是一个开源软件,用于检测和利用数据库漏洞,并提供将恶意代码注入其中的选项。 它是一种渗透测试工具,可自动检测和利用SQL注入漏洞,在终端中提供其用户界面。 该软件在命令行运行,可供不同操作系统下载:Linux发行版,Windows和Mac OS操作系统。sqlmap完全支持多个DBMS,包括MySQL,Oracle,PostgreSQL,Microsoft SQL
1、扫描靶机信息phpnmapsV192.168.222.130!image.png(https://s4.51cto.com/images/blog/202110/22103921_61722459182a923748.jpg?xossprocess=image/watermark,size_14,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_1
原创
2021-10-22 10:45:46
1554阅读
点赞
2评论
演示环境 1、靶机: Metasploitable2-Linux IP:192.168.184.130 2、攻击机:Kali-Linux-2021.02-amd64 IP:192.168.184.128 扫描端口 系统弱密码登录 1、在kali上执行命令行telnet 192.168.184.130 ...
转载
2021-08-26 09:40:00
2853阅读
点赞
2评论
靶机hackerkid的第二个漏洞:XEEXML外部实体注入(XML External Entity Injection),也称为XEE,是一种Web安全漏洞,它允许攻击者干扰应用程序对XML数据的解析。漏洞可导致攻击者查看应用程序所在服务器上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。例如,攻击者可利用XXE漏洞进行服务端请求伪造(SSRF攻击),从而破坏底层服务器或其
原创
2022-11-16 12:03:28
4436阅读
uplad-labs靶场注意:该靶场为优秀的github开源项目,项目地址为:https://github.com/c0ny1/upload-labs介绍upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。环境要求配置项配置描述操作系统Window o
原创
2022-10-27 10:13:55
246阅读
uplad-labs靶场注意:该靶场为优秀的github开源项目,项目地址为:https://github.com/c0ny1/upload-labs介绍upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。环境要求配置项配置描述操作系统Window or L
原创
2022-12-29 13:28:14
473阅读
靶机遇漏洞系列,记录在打靶机过程中遇到的漏洞,学习其原理和利用方式。靶机地址:https://www.vulnhub.com/entry/hacker-kid-101,719/漏洞原理DNS协议支持使用axfr类型的记录进行区域传送,用来解决主从同步的问题。如果管理员在配置DNS服务器的时候没有限制允许获取记录的来源,将会导致DNS域传送漏洞。漏洞复现1.环境搭建使用vulhub搭
原创
2022-11-09 16:59:47
1019阅读
靶机writeup1.漏洞原理SSTI 就是服务器端模板注入(Server-Side Template Injection)。模板引擎SSTI中的T就是指模板引擎。模板引擎:分离用户界面与业务数据,将模板文件和数据通过模板引擎生成一个HTML页面反馈给浏览器,呈现给用户。常见的模板引擎如下:MVC模式当前常用的web框架,例如Python的flask、PHP的tp和Java的sping等,
原创
2022-11-28 17:27:15
277阅读
比较好奇每个靶机的英文名字是啥意思,silo有核武器发射井以及地下贮藏室的意思。 好,废话不多说,先打开靶机,注意一下提示:进行扫描一下nmap -sV -Pn -A 10.10.10.82 扫描结果显示,存在挺多的端口,80端口打开就是一个iis的页面,没什么东西,在msf中也没找到有用的东西。其中的1521和49159端口值得注意,在msf中使用oracle tns搜索,能找到一个漏洞tnsP
通用漏洞环境以下通用漏洞环境可作为靶机环境,在获取工具payload以及人工构造数据时使用。1.1 DVWADocker仓库地址:https://hub.docker.com/r/infoslack/dvwa1.2 Webgoathttps://hub.docker.com/r/
原创
2023-08-03 20:21:12
0阅读
# 如何实现“靶机爆破MySQL密码”
在信息安全和渗透测试领域,靶机的密码爆破是一种常见的技能。在这篇文章中,我将带领你了解如何实现针对MySQL的密码爆破。若你是刚入行的小白,别担心,下面我将为你清晰地阐述整个流程、每一步需进行的操作以及相关代码的使用。
## 流程概述
我们将通过以下几个步骤来实现MySQL的密码爆破。请查看下面的表格,清楚了解整个流程:
| 步骤编号 | 步骤描述
1、通过sqlmap进行注入攻击:root@bt:/pentest/database/sqlmap# python sqlmap.py -u'http://192.168.0.133/dvwa/vulnerabilities/sqli/?id=aa&Submit=Submit#'--cookie='security=low; fws_guest=16983826;PHPSESS
原创
2013-12-30 16:37:12
1523阅读
前言靶机,在军事领域意指作为射击训练目标的一种军用飞行器。类似地,在网络安全行业,靶机,也称靶场,泛指作为渗透测试用途的一种软件或系统。常见的渗透测试靶机系统有DVWA、Metasploitable、mutillidaemutillidae、SQLol、hackxor、BodgeIt、Exploit KB、WackoPicko、OWASP Hackademic、WebGoat、XSSeducati
转载
2024-02-19 10:32:33
28阅读
摘要:本文档介绍了WebGoat靶机平台在Windows10系统下的使用。其操作过程均在一台主机上完成。该平台涉及的训练项目有http代理、数据库注入、身份校验缺陷、XSS、访问控制缺陷、通信拦截、序列化问题、CSRF、问题组件等内容,帮助学习者学习网络攻防基础,培养网络安全意识。本文章完成时间:2022年9月10号,部分图片上传失败,择期再更,暂缓更新 注:标题带“ * ”题目可能未做出来一.
0x01漏洞原理网站WEB应用的一些文件上传功能,比如文档、图片、头像、视频上传。上传功能的实现代码没有严格校验上传文件的后缀和文件类型时,就可以上传任意文件甚至是可执行文件后门。0x02漏洞成因造成文件上传漏洞的原因有:开源编辑器的上传漏洞服务器配置不当本地文件上传限制被绕过过滤不严或被绕过文件解析漏洞导致文件执行文件路径截断0x03文件上传过程文件检测首先先来了解一下文件上传的过程,一个文件上
转载
2024-01-05 19:29:43
37阅读
靶机地址链接:https://pan.baidu.com/s/1nzCn2aRw88HpuhC3YIPUVg?pwd=hack 提取码:hack导入打开虚拟机,导入test即可调整网卡配置为nat开机展示界面如下 探测靶机ip方法一:使用arp-scan -l检查当前靶机的mac地址对应的ip信息方法二:使用nmap对整个nat网段进行扫描 基于ip通过浏
在使用nmap -T4 -A -v 靶机ip 这条命令后,我们检查探测出的信息时名发现9090端口也是开放了http服务,我们照例使用dirb命令探查敏感目录,发现了,192.168.1.2:9090这个连接,一打开,发现了第二个flag攻击机ip:192.168.1.3靶机ip:192.168.1.2 知道IP后,我们使用nmap对靶机进行端口探测nmap -T4 -A -v 靶机ip
Kali靶机:DC-9一、信息收集1、arp-scan -l查看同网段存活主机 第一和第二个是太小,一般不用管,第四个是攻击机的IP,所以只有第三个是目标机IP2、nmap -sV -A -p 1-65535 192.168.139.208 端口扫描,查看开放的服务 可以发现开放了一个80端口和22 ssh远程连接,并且知道该服务器的一些信息,访问该服务器可以看到网
转载
2023-09-06 15:33:52
24阅读
文章目录前言一、安装二、Web部分三、提权部分 前言 难度:简单,本文使用VirtualBox打开,下载地址:https://www.vulnhub.com/entry/the-planets-earth,755/。 靶机地址:192.168.56.104
21(FTP)端口简介21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。端口说明:目前,通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另
原创
2023-06-13 21:11:18
3205阅读
点赞
