蜗蜗侠's Blog-关注网络安全移动版

  • 实战|记一次SQL注入过WAF思路分享

    日期:2019-11-09 12:05:49 点击:71 好评:0

    判断注入点 输入-- 报错 输入-- 回显正常 可以确定是使用单引号闭合的 输入 and 1=1 -- 回显正常, 可以查询到数据 输入 and 1=2 -- 回显正常, 但未查询到数据 可以确定存在注入 接下来就是跑数据, 直接掏出sqlmap ActionScript sqlmap - u http://www.xxx.co...

  • 渗透测试之信息搜集思路及技巧

    日期:2019-04-15 10:07:58 点击:98 好评:0

    信息搜集对于后续的渗透测试至关重要,信息的完整性决定着能否挖掘出网站漏洞,本篇文章将从几个方面讲解信息搜集的思路及技巧和具体的防范方法。 1、Whois查询、网站分析: 我们第一步先是信息收集,先去站长之家Whois查询网站的相关信息, 如上图查询到了...

  • mitm6:通过IPv6攻破IPv4网络

    日期:2019-03-11 09:42:43 点击:129 好评:0

    IPv6正在互联网上推广,但内部网络中使用IPv6的公司非常稀少。大多数公司并不知道,即使他们没有主动去使用IPv6,但从Vista以来,所有的Windows系统都会启用IPv6网络,并且其优先级要高于IPv4网络。...

  • HTB靶机渗透实战——Carrier

    日期:2019-02-28 14:40:28 点击:108 好评:0

    前言 大家好,我是成都B1ngDa0,今天给大家带来HTB(hackthebox)的一个靶机:Carrier的writeup,作为一篇自己回顾整理知识点以及分享给大家的文章,还望斧正。HTB的入坑,平台和网上都能简单的搜到,我就不在此赘述了,本人和朋友在HTB建立了团队以及交流群,如...

  • Moonraker靶机渗透测试

    日期:2019-01-10 11:05:49 点击:116 好评:0

    前言 近日闲的无聊就找了个靶机玩玩,技术太菜,第一次写这个渗透测试,写的不好还请多多指教。 靶机搭建与下载 Moonraker靶机下载地址: https://pan.baidu.com/s/14_WTjBUaSSaOZThxX3GYpg 提取码: 9o7e Monraker靶机ip: 192.168.56.150 kali攻击者ip : 192....

  • Typhoon靶机渗透测试

    日期:2019-01-10 11:05:25 点击:83 好评:0

    前言 Typhoon这台靶机有比较多的漏洞,最多的就是由于配置不当导致漏洞。 靶机下载及配置 Typhoon靶机下载地址: https://pan.baidu.com/s/18U0xwa9ukhYD4XyXJ98SlQ 提取码: jbn9 Typhoon靶机ip: 192.168.56.150 kali攻击者ip: 192.168.56.1 知识点 nmap dirb...

  • 对某菠菜网站的一次渗透测试-thinkphp-getshell

    日期:2019-01-07 11:03:51 点击:196 好评:0

    前言 无意间发现一个thinkphp的菠菜站,最近tp不是刚好有个漏洞吗? 然后就顺手测试了一下,但过程并不太顺利,不过最后还是拿下了,所以特发此文分享下思路。 0x00 一键getshell? 简单看了下,应该有不少人玩吧? 正好前几天写了个测试工具,先掏出来测试...

  • 从SQL注入到内网漫游

    日期:2018-11-10 15:17:25 点击:82 好评:0

    在渗透中遇到一个站点,顺手测试了一下,在搜索框随便输入了一个字符加个单引号直接报错了,差不多可以确认这里存在注入了。一般这种站安全性极差,测试了下其他地方,在一个登录框处又发现一个注入。...

  • Cyberry靶机渗透测试

    日期:2018-09-28 11:59:32 点击:118 好评:0

    环境准备 靶机ip:192.168.107.132 攻击机kali:192.168.107.134 说明:目的是拿下靶机并获取root权限 渗透测试 首先nmap开路,找一下靶机的ip地址 nmap -sP 192.168.107.1/24 既然确定了ip,接着我们扫一下端口。 开了三个端口,1个web端口80,1个ssh端口22...

  • 宜家PDF下载过程本地文件包含漏洞披露

    日期:2018-09-28 11:46:57 点击:135 好评:0

    译文声明 本文是翻译文章,文章原作者jonathanbouman,文章来源:medium.com 原文地址: https://medium.com/@jonathanbouman/local-file-inclusion-at-ikea-com-e695ed64d82f 译文仅供参考,具体内容表达以及含义原文为准 背景: 通过本地文件包含攻击,可...