渗透测试经验技巧

渗透测试-注入攻击专题

渗透测试-注入Neo4jACCESSORM注入SSTI服务器端模板注入(Server-SideTemplateInjection)万能密码漏洞介绍测试方法sql手工注入@apache+php+Mysql
amingMM·2023-01-05 18:59

Weblogic 常规渗透测试之利用文件读取漏洞getshell

Weblogic常规渗透测试之利用文件读取漏洞getshell漏洞环境:vulhub复现步骤:1.起一个存在任意文件读取的demo:file,jsp存在漏洞3.读取后台用户密文与密钥文件weblogic
为了嫖md编辑器到自己的博客·2023-01-05 10:16

DC-1靶机渗透测试记录

攻击机kali-linux-2020.4-vbox-i386设置USB设备关闭,网络连接方式仅主机(Host-Only)网络。攻击机IP192.168.56.103步骤1靶机目标发现因为靶机和攻击机在同一个网络内,所以使用KALI上arp-scan-l进行扫描。扫描确定了靶机的IP是192.168.56.102。┌──(root??kali)-[~]└─#arp-scan-lInterface:e
晓翔仔·2023-01-05 10:16

渗透测试---数据库安全: sql注入数据库原理详解

文章目录1介绍2一般步骤3注入3函数3.1常用的系统函数3.2字符串连接函数3.2.1concat()函数3.2.2concat_ws()函数3.2.3group_concat()函数4注入4.1联合查询union注入4.2information_schema注入5.2.1获取所有数据库4.2.2获取指定数据库的表4.2.3获取指定表的字段名4.2.4获取字段值得内容4.3基于报错信息注入4.3.
有勇气的牛排·2023-01-05 03:45

nmap教程—2—发现主机

发现主机是实施渗透测试的第一步,也是最重要的一步。只有先确定目标主机是活动的,才能进一步实施渗透测试。在Nmap中,可以通过不同的方法来发现主机,如IP发现、ICMP发现、TCP发现和UDP发现等
ZhShy23·2023-01-04 23:10

阿里云团队漏洞托管、渗透测试、攻防演练

漏洞托管阿里云提供的漏洞托管服务内容及服务等级协议(SLA)如下:服务内容服务分类服务描述服务范围服务方式服务的交付件安全测试人工渗透阿里云的安全测试主要针对外网资产的业务迭代和新的风险面进行测试,通常每月进行一次。阿里云的安全测试主要以人工方式进行测试,并发现安全漏洞。安全测试覆盖的范围包括OWASPTOP10,以及一些常见的安全风险,如业务逻辑、服务配置、敏感信息泄露、权限控制不当、请求伪造
魔都性能自动化AuricChan·2023-01-04 10:06

JWT渗透与攻防(一)

案列演示之JWTNoneAlgorithmJWT漏洞工具的利用JWT利用工具介绍jwt_tool漏洞利用jwt-crackerc-jwt-cracker前言Jsonwebtoken(JWT)相关漏洞对于渗透测试人员而言可能是一种非常吸引人的攻击途径
私ははいしゃ敗者です·2023-01-04 10:33

渗透攻防-01

渗透测试流程思维导图渗透测试介绍渗透测试(penetrationtest)是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。
村花黑妹·2023-01-04 10:33

渗透测试】Struts2系列漏洞

目录S2-0011、漏洞原理2、影响版本3、验证方法S2-0051、漏洞原理2、影响版本3、验证方法(无回显)4、验证方法(有回显)S2-0071、漏洞原理2、影响版本3、漏洞验证S2-0081、漏洞原理2、影响版本3、漏洞验证S2-0091、漏洞原理2、影响版本3、漏洞验证S2-0121、漏洞原理2、影响版本3、漏洞验证S2-0131、漏洞原理2、影响版本3、漏洞验证S2-0141、漏洞原理2、
离陌lm·2023-01-03 18:45

渗透测试】Apache Shiro系列漏洞

目录Shiro-550(CVE-2016-4437)1、漏洞原理2、影响版本3、漏洞利用Shiro-7211、漏洞原理2、影响版本3、漏洞利用Shiro认证绕过漏洞(CVE-2020-1957)1、漏洞原理2、影响版本3、漏洞验证Shiro身份验证绕过(CVE-2020-13933)1、漏洞原理2、影响版本3、漏洞验证Shiro-550(CVE-2016-4437)1、漏洞原理ApacheShir
离陌lm·2023-01-03 18:14

渗透测试】Weblogic系列漏洞

目录CVE-2017-10271(WeblogicXMLDecoder反序列化漏洞)1、漏洞原理2、影响版本3、漏洞验证4、修复方案CVE-2018-2628(WeblogicT3协议反序列化漏洞)1、漏洞原理2、影响版本3、漏洞验证4、修复方案CVE-2018-2894(WebLogic任意文件上传漏洞)1、漏洞原理2、影响版本3、漏洞验证4、修复方案CVE-2020-14882、CVE-202
离陌lm·2023-01-03 18:14

渗透测试专业术语3

三防守篇1、软硬件1.加密机主机加密设备,加密机和主机之间使用TCP/IP协议通信,所以加密机对主机的类型和主机操作系统无任何特殊的要求。2.CA证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认证。3.SSL证书SSL证书是数字证书的一种,
洛羽~·2023-01-03 08:11

weixin小程序和公众号抓包方法分享

文章目录前言一、工具准备及相关设置二、burp抓包演示三、扩展操作四、小结前言由于在工作中涉及了微信小程序的渗透测试,参考了一些文章,感觉代理的设置大都太麻烦,甚至还有人用模拟器或者手机登陆微信再抓内网
seek_2022·2023-01-03 05:14

渗透实战-抓取微信小程序流量包

渗透实战-抓取微信小程序流量包前言Proxifier使用启用HTTPProxy服务器设置监听地址设置代理规则利用Proxifier抓取微信小程序前言现在渗透测试不仅要对传统的web测试,还要对APP,微信小程序
beirry·2023-01-03 05:42

Burp Suite API学习思路

i春秋-核心白帽:yanzmBurpSuite是每个web安全学习者都接触过的集成平台,包含集合了多种渗透测试组件,除了强大的功能外,官方还提供API支持使用者开发插件,满足你独特的需求。
张悠悠66·2023-01-02 02:06

Go渗透测试编程(三)——TCP、扫描器和代理(续)

通过上述的流程,我们就可以简单理解示例程序了funcmain(){//在所有接口上绑定TCP端口20080,启动监听服务listener,err:=net.Listen("tcp",":20080")//判断监听服务是否启动,否则抛出异常iferr!=nil{log.Fatalln("UnabletoBindtoport")}//打印语句,成功监听log.Println("Listeningonl
·2022-12-31 20:44

Altman3:完美运行在多个平台的渗透测试软件

Altman3是一款渗透测试软件,代码托管于Github。
weixin_34205826·2022-12-30 20:47

2017-2018-2 20179204 PYTHON黑帽子 黑客与渗透测试编程之道

python代码见码云:20179204_gege参考博客Python黑帽子--黑客与渗透测试编程之道、关于《Python黑帽子:黑客与渗透测试编程之道》的学习笔记第2章网络基础tcp客户端(tcpclient.py
weixin_30790841·2022-12-30 19:55

Python 编程精选

↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑为了方便查找,请看目录(手机端就没有目录哦)注:本文篇幅较大,请耐心等待(powerby《Python黑帽子:黑客与渗透测试编程之道》)终于学完了
剑西楼·2022-12-30 19:53

8.#技术|对学校实验考试系统的一次渗透 拿到webshell + 查找漏洞

写在前面记录一次对青科实验考试系统的渗透测试,这是我人生第一次成功进入服务器后台,很是兴奋,于是记录下来。
没有技术的老dog·2022-12-30 13:20

冲刺金三银四,看这一篇网络安全工程师面试题汇总就好了!

以下为信息安全各个方向涉及的面试题,星数越多代表问题出现的几率越大,祝各位都能找到满意的工作~【一一帮助安全学习【点我】一一】①网络安全学习路线②20份渗透测试电子书③安全攻防357页笔记④50份安全攻防面试指南
不是程序媛ya·2022-12-29 11:11

干货 | 超详细的渗透测试思维导图

Xmind源文件下载地址:https://github.com/iSafeBlue/Mind-Map/releases喜欢的可以点个star!
李白来了·2022-12-28 23:19

给想要转行渗透测试人的忠告

经常在各种网站论坛上面看到有朋友问“xx岁适不适合学渗透测试”“零基础能不能学会?”“原来是什么职业,转行学渗透测试可以吗?”
安鸾彭于晏·2022-12-28 11:17

安全工具箱必备技术之静态分析安全测试(SAST)

有几种技术可以识别软件和系统的漏洞,聪明的组织把它们放在他们的“安全工具箱”中,并使用各种测试工具的组合,包括:静态分析安全测试(SAST)动态分析安全测试(DAST)源成分分析(SCA)漏洞扫描器渗透测试通过自动化工具提高安全性的动机是将软件开发生命周期
Pokemogo·2022-12-27 14:14

[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(十)RCE (远程代码/命令执行漏洞)相关面试题

博主介绍‍博主介绍:大家好,我是_PowerShell,很高兴认识大家~✨主攻领域:【渗透领域】【数据通信】【通讯安全】【web安全】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋作者水平有限,欢迎各位大佬指点,相互学习进步!渗透方向的岗位,涉及到的知识点是很广泛的。这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的
_PowerShell·2022-12-27 07:33

渗透测试漏洞复现】fastjson1.2.24漏洞复现详细过程

文章目录前言漏洞环境搭建漏洞利用复现处理json时发生反序列化JNDI注入反弹shell总结前言Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调
Cgxx·2022-12-27 07:25

网络渗透测试实验四 CTF实践

一、实验目的和要求实验目的:通过对目标靶机的渗透过程,了解CTF竞赛模式,理解CTF涵盖的知识范围,如MISC、PPC、WEB等,通过实践,加强团队协作能力,掌握初步CTF实战能力及信息收集能力。熟悉网络扫描、探测HTTPweb服务、目录枚举、提权、图像信息提取、密码破解等相关工具的使用。系统环境:KaliLinux2、WebDeveloper靶机来源:https://www.vulnhub.co
sol284·2022-12-26 18:51

《Python渗透测试编程技术:方法与实践》:信息的利用(进阶)

第七章对漏洞进行渗透(高级部分)随着Windows操作系统的安全性不断提高(尤其是Windows10等系统的推出),这种简单利用JMPESP指令执行数据区域代码的方法已经很难实现了,引入了新途径——Windows下的结构化异常处理(structedexceptionhandling,SEH)机制。类似于编程时常用的try/except或者try/catch这种结构,就是结构化异常处理。try://
寧小樂·2022-12-25 03:29

2022年全国职业院校技能大赛“网络安全”竞赛试题官方答案

需要环境可以私信博主啦~有空的话点个赞啦B-7任务七:渗透测试*任务说明:仅能获取Server7的IP地址1.通过本地PC中渗透测试平台Kali对靶机场景Server7进行系统服务及版本扫描渗透测试,以
旺仔Sec·2022-12-24 16:34

网络安全专业应该从事哪个方向前景比较好。。?

网络安全是一个很广的概念,涉及的岗位也是非常多的,有安全服务、安全运维、渗透测试、web安全、安全开发、安全售前等等。可以看看下面每个岗位的要求与自身兴趣能力匹配度再决定最好。
小黑安全·2022-12-23 13:43

网络安全方向好吗?

缺点就需要一直学,卷得要死,不是跟别人卷,而是自己卷,一会后面细说这个行业目前分为几个岗位,分别是安全运维,安全服务,安全研究其中运维先不说,岗位性质比较单一安全服务岗安全服务岗分为安全工程师,安全服务工程师,渗透测试工程师
测试寒哥·2022-12-23 13:11

小白入门黑客之渗透测试基本流程

所以全网最详细的渗透测试流程来了!!!
港城嘟嘟·2022-12-23 11:40

【网络安全】-- 网络渗透技术攻防(--更新中)

系列文章目录文章目录系列文章目录前言第一章、初识网络渗透测试1.1网络渗透的概述1.1.1什么是网络渗透攻击1.1.2网络渗透测试的意义1.2渗透测试需掌握的知识点1.2.1进程、端口、服务1.2.2文件和文件系统概述
用余生去守护·2022-12-23 08:27

干货-如何逆向解决QT程序汉化乱码问题

原创声明本人是【逆向驿站】公众号作者,会发布网络安全、渗透测试、逆向破解、病毒分析等教程原创文章和视频,你可以关注我的微信公众号(可以当知识速查字典工具),也可以点击左上角关注在博客关注我,也可以加QQ
逆向驿站·2022-12-23 05:07

网络安全实战之植入后门程序

Kali:它是Linux发行版的操作系统,它拥有超过300个渗透测试工具,就不用自己再去找安装包,去安装到我们自己的电脑上了,毕竟自己从网上找到,也不安全。它甚至还集成了600多种黑客工具,很强大。
kali_Ma·2022-12-22 08:16

2017年山东省职业技能大赛中职组“网络空间安全”赛项 A卷

二、竞赛阶段简介竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段单兵模式系统渗透测试任务1操作系统及应用程序扫描渗透测试
永远孤独的菜鸟·2022-12-21 11:45

2020年中职组“网络空间安全”赛项天津市选拔赛竞赛任务书

二、竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段单兵模式系统渗透测试任务一Nmap扫描渗透测试8:30-10:10150任务二SSH弱口令渗透测试150任务三数据分析与取证200任务四网络爬虫渗透测试
旺仔Sec·2022-12-21 11:40

2020年中职组“网络空间安全”赛项天津市任务书

二、竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值单兵阶段任务一Apache安全配置9:30-11:10150任务二数据分析-A150任务三Windows操作系统渗透测试200任务四漏洞扫描与利用200备战阶段攻防对抗准备工作
旺仔Sec·2022-12-21 11:10

2020年中职组 网络空间安全 福建省赛题解析

一、竞赛时间共计:180分钟二、竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段单兵模式系统渗透测试任务一Nmap扫描渗透测试100分钟150任务二SSH弱口令渗透测试150任务三Linux操作系统渗透测试
_abcdef·2022-12-21 11:09

2019年中职组“网络空间安全”赛项 福州市竞赛任务书

2020年中职组“网络空间安全”赛项福州市竞赛任务书一、竞赛时间共计:180分钟二、竞赛阶段竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段单兵模式系统渗透测试任务一Nmap扫描渗透测试100分钟150任务二
匿名用户2·2022-12-21 11:37

渗透测试基础- - -windows网络安全常用dos命令

目录一,DOS是什么二,windows常用命令1.查看系统分区2.搜索指定文件:for3.创建文件:echo4.查看文件内容:5.删除文件:del6.隐藏文件命令:attrib7.关机:8.测试网络连通情况:ping9.获得远程主机的nbtstat信息:10.显示当前的网络状态11.远程主机服务命令:net12.用户提权:netlocalgroup13.查看远程主机的时间:14.计划任务命令:15
干掉芹菜·2022-12-21 08:55

渗透测试基础- - -linux权限维持应急

目录0x01隐藏文件0x02隐藏文件时间戳0x03隐藏权限0x04隐藏历史操作命令技巧一:只针对你的工作关闭历史记录技巧二:从历史记录中删除指定的命令0x05进程隐藏第一种方法:libprocesshider0x01隐藏文件Linux下创建一个隐藏文件:touch.test.txttouch命令可以创建一个文件,文件名前面加一个点就代表是隐藏文件一般的Linux下的隐藏目录使用命令ls-l是查看不
干掉芹菜·2022-12-21 08:55

渗透测试基础- - -windows入侵排查

渗透测试基础---windows入侵排查目录一,文件排查二,进程排查三,系统信息排查四,登录日志排查一,文件排查(1)开机启动有无异常文件打开任务管理器----选择“启动”(2)各个盘下的temp(tmp
干掉芹菜·2022-12-21 08:55

渗透测试-Windows密码凭证获取

密码凭证获取姿势Windows密码凭证获取Windows认证基础Windows本地认证Windows网络认证Net-ntlmhash破解系统用户凭证获取mimikatzPowershell脚本procdump+mimikatz注册表导出HashMeterpreter获取HashCobaltStrike获取Hash其他密码凭证获取RDP连接密码解密Powershell脚本获取RDP连接记录Mysql
曲折上升·2022-12-21 08:46

Web漏洞靶场搭建(OWASP Benchmark)

【摘要】漏洞靶场,不仅可以帮助我们锻炼渗透测试能力、可以帮助我们分析漏洞形成机理、更可以学习如何修复提高代码能力,同时也可以帮助我们检测各种各样漏洞扫描器的效果。
是怼怼呀11·2022-12-20 13:56

内网穿透工具---Venom使用教程

介绍从某个做内网工作的朋友口里面听到这个工具:Venom;这是一款为渗透测试人员设计的使用Go开发的多级代理工具。Venom可将多个节点进行连接,然后以节点为跳板,构建多级代理。
猫星人不会笑·2022-12-20 12:39

信息安全技术简介

防病毒技术3、VPN技术4、防火墙5审计系统6、漏洞扫描技术7、加密技术8、身份鉴定和认证技术二、漏洞扫描技术1、主机存活扫描技术2、操作系统识别3、端口扫描技术4、服务识别5、账号扫描6、模拟攻击三、常见的渗透测试漏洞分类
princesfang·2022-12-20 03:44

搭建属于自己的xss平台

攻击者用来接收cookie的平台就叫做xss平台,在网上其实有很多这种平台,但其实有的平台存在黑吃黑的现象(懂得都懂),而且有很多渗透测试任务都是保密的,不可能去第三方网站。二、co
清丶酒孤欢ゞ·2022-12-19 12:24

Metasploit实现木马生成、捆绑及免杀

实验简介在一次渗透测试的过程中,避免不了使用到社会工程学的方式来诱骗对方运行我们的木马或者点击我们准备好的恶意链接。
·2022-12-19 11:57

渗透测试技术之常见信息收集操作,Nmap、p0f、Xprobe2的操作技术

如果收集到有用的情报资料的话,可以大大提高对渗透测试的成功性。收集渗透目标的情报一般是对目标系统的分析,扫描探测,服务查点,扫描对方漏洞,查找对方系统IP等,有时候渗透测试者也会用上“社会工程学”。
谷雨之际·2022-12-18 23:50
上一页 59 60 61 62 63 64 65 66 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他