E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
pikachu靶场练习
凌晨作词,四点截稿。致beatboxer张老板《First Order》处女Rap词
Beatbox是门唇齿舌喉间的艺术I'llgiveyouademo不是要和你battle听说说唱界的泰斗被封杀前要嚼块比巴卜
Pikachu
!?
雨泽星辰
·
2023-07-17 19:42
靶场练习
--春秋云境-Tsclient
简介:Tsclient是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有3个flag,分布于不同的靶机。靶场链接:https://yunjing.ichunqiu.com/major/detail/1072?type=1挑战开始:flag01
NooEmotion
·
2023-07-16 17:50
靶场练习
网络安全
web安全
靶场搭建——搭建
pikachu
靶场
搭建
pikachu
靶场搭建
pikachu
靶场1、win11本机搭建步骤2、虚拟机win2012搭建步骤我所碰见的问题以及解决方式:搭建
pikachu
靶场这里我所运用到的材料有:首先我最终是在虚拟机中环境为
君衍.⠀
·
2023-07-15 02:03
Web安全
网络安全
adb
经验分享
php
mysql
apache
生成对抗网络
安全
DVWA之SQL注入
一.DVWA介绍1.1DVWA简介DVWA是一款基于PHP和MYSQL开发的web
靶场练习
平台,集成了常见的web漏洞如sql注入,XSS,密码破解等常见漏洞。
bp粉
·
2023-07-14 13:59
面试
学习路线
阿里巴巴
sql
安全
数据库
servlet
jvm
pikachu
靶场之XSS学习笔记
XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASPTOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏览器当作有效代码解析执行从而产生危害。因此在XSS漏洞的防范上,一般会采用“对输入进行过滤”和“输出进行转义”的方式进行处理:输入
Mbys_Lettuce
·
2023-07-14 12:30
pikachu靶场学习笔记
xss
学习
前端
OWASP之CSRF跨站请求伪造
Cookie3.攻击者伪装数据操作请求的恶意链接或者页面4.诱使未登出用户主动访问或登录恶意链接,触发非法操作四、CSRF的类型1.Get类型2.Post类型3.Get+token五、CSRF实操1.
Pikachu
wutiangui
·
2023-06-22 10:59
csrf
网络
运维
pikachu
靶场-url重定向
打开测试界面不安全的URL跳转发现有四条超链接,依次打开都会进行内容跳转当我们点击最下面的一个超链接,可以看到url变成了这样我们对url=i进行参数修改设置payload为http://ip:port/vul/urlredirect/urlredirect.php?url=http://www.baidu.com输入后跳转到如下界面该漏洞常利用于钓鱼网站的跳转漏洞防范理论上讲,url跳转属于CS
mlws1900
·
2023-06-21 18:00
pikachu
网络安全
安全
web安全
php
网络安全
pikachu
靶场-PHP反序列化
序列化serialize()序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:classS{public$test="
pikachu
";}$s=newS();//创建一个对象serialize
mlws1900
·
2023-06-21 18:29
pikachu
网络安全
php
开发语言
安全
web安全
网络安全
【web-ctf】ctf-
pikachu
-file_download
文章目录FileDownload(文件下载漏洞)1.UnsafeFileDownload总结FileDownload(文件下载漏洞)漏洞产生原因:很多网站都会提供文件下载功能,即用户可以通过点击下载链接,下载到链接所对应的文件。但是,如果文件下载功能设计不当,则可能导致攻击者可以通过构造文件路径,从而获得到后台服务器上的其他的敏感文件。(又称:任意文件下载)1.UnsafeFileDownload
过动猿
·
2023-06-20 05:04
ctf
安全
web安全
OWASP 之跨站脚本xss基础技能
基础技能一.XSS概述二.漏洞危害三.XSS漏洞绕过方法1.手工测试XSS步骤2.常见xss3.绕过方法四.xss防御方法a.CSP内容安全策略b.HttpOnlyc.输入输出检查d.使用防御函数五.
pikachu
wutiangui
·
2023-06-18 02:27
javascript
前端
开发语言
XSS数据接收平台——蓝莲花(BlueLotus)
文章目录一、前言二、安装三、使用1、我的JS创建一个模板2、使用创建的模板攻击3、打开攻击的目标(这里选择
pikachu
靶场的存储型XSS模块测试)4、查看返回的数据一、前言蓝莲花平台是清华大学曾经的蓝莲花战队搭建的平台
p36273
·
2023-06-17 22:38
web安全工具介绍与安装
web安全
xss
pikachu
靶场-敏感信息泄露
敏感信息泄漏简述攻击方式常见的攻击方式主要是扫描应用程序获取到敏感数据漏洞原因应用维护或者开发人员无意间上传敏感数据,如github文件泄露敏感数据文件的权限设置错误,如网站目录下的数据库备份文件泄露网络协议、算法本身的弱点,如telent、ftp、md5等漏洞影响应用程序、网站被修改个人资料、公司资料泄露,被用于售卖获利漏洞防护对于github泄露,定期对仓库扫描对于应用网站目录定期扫描使用强壮
mlws1900
·
2023-06-17 07:55
pikachu
网络安全
安全
web安全
网络安全
用Python暴力破解网站登录密码(带token验证)
测试靶机为
Pikachu
漏洞练习平台暴力破解模块下的“token防爆破?”春节期间歇了一阵子,吃睡玩看小说。
Python栈机
·
2023-06-16 09:40
python
python
安全
web安全
任意文件上传与下载(文件上传)
导致攻击者可以通过一些手段绕过安全措施从而上传一些恶意文件,从而通过该恶意文件的访问来控制整个后台文件上传靶机下载地址:https://github.com/c0ny1/upload-labs一、测试流程:vstartwebshell里面找php在
pikachu
囡琪琪
·
2023-06-15 15:10
pikachu
靶场-Over Permission
OverPermission(越权)用户A的权限小于用户B的权限,此时用用户A的权限去操作用户B的数据,如果能够操作成功,就称之为越权操作。越权漏洞一般容易出现在权限页面(需要登录的页面)增、删、改、查的地方。越权漏洞形成的原因是后台使用了不合理的权限校验规则导致的。当用户对权限页面内的信息进行增、删、改、查的操作时,后台对当前用户的权限进行校验,看是否具备操作的权限,从而给出响应。如果校验规则过
mlws1900
·
2023-06-13 17:49
网络安全
pikachu
安全
web安全
php
pikachu
靶场-File Inclusion
文件包含漏洞概述在web后台开发中,程序员往往为了提高效率以及让代码看起来更加简介,会使用”包含“函数功能。比如把一系列功能函数都写进function.php中,之后当某个文件需要调用的时候就直接在文件头上写上一句就可以调用函数代码。但有些时候,因为网站功能需求,会让前端用户选择需要包含的文件(或者在前端的功能在使用了”包含”功能),又由于开发人员没有对要包含的这个文件进行安全考虑,就导致攻击者可
mlws1900
·
2023-06-13 17:18
安全
pikachu
靶场-Unsafe Upfileupload
文件上传漏洞简述什么是文件上传漏洞? 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞。文件上传的原理 网站Web应用都有一些文件上传功能,比如文档、图片、头像、视频上传,当上传功能的实现代码没有严格校验上传文件的后缀和文件类型,此时攻击者就可以上传一个webshell到一个Web可访问的目录上,并将恶意
mlws1900
·
2023-06-13 17:18
pikachu
ctf
网络安全
安全
web安全
ctf
php
pikachu
靶场-../../(目录遍历)
目录遍历,也叫路径遍历,由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以是web根目录以外的文件),甚至可以执行系统命令。原理程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。比如:http://www.***.
mlws1900
·
2023-06-13 17:46
pikachu
网络安全
php
安全
web安全
Burp Suite
靶场练习
——暴力破解(pikache靶场)
文章目录前言环境使用工具第一关、基于表单的暴力破解Step.1、抓包Step.2、设置爆破条件Step.3、开始爆破Step.4、查看攻击成果Step.5、返回靶场尝试登录测试第二关、验证码绕过(onserver)Step.1、思路分析Step.2、抓包Step.3、使用Repeater模块进行拦截Step.4、Repeater模块图形界面浏览Step.5、测试拦截情况Step.6、开始爆破第三关
p36273
·
2023-06-11 11:42
web安全
渗透模拟练手
学习
文件包含漏洞详解
文章目录文件包含概述漏洞产生原因漏洞特点小知识文件包含函数includerequireinclude_oncerequire_once文件包含示例
pikachu
靶场本地文件包含漏洞演示
pikachu
靶场远程文件包含漏洞演示文件包含漏洞的利用
poggioxay
·
2023-06-09 16:56
文件包含
代码审计
web安全
自学黑客(网络安全),一般人我劝你还是算了吧
目录一、自学网络安全学习的误区和陷阱二、学习网络安全的一些前期准备三、网络安全学习路线第一阶段:基础操作入门,学习基础知识第二阶段:实战操作1.挖SRC2.从技术分享帖(漏洞挖掘类型)学习3.
靶场练习
第三阶段
网络安全—白菜菜
·
2023-06-08 19:52
web安全
安全
网络安全
网络
黑客
渗透测试-反弹
Pikachu
平台服务器shell
出站:我主动将权限经过防火墙发送出去,出站防火墙大部分允许入站:外界经过防火墙拿走我的权限,入站防火墙安全策略较严格开始实操1.在fofa中寻找
pikachu
漏
大飞先生
·
2023-06-08 12:58
基础的渗透测试
服务器
linux
web安全
SSRF 漏洞学习实战
SSRF漏洞的危害四.漏洞检测点五.ssrf漏洞绕过六.ssrf漏洞的利用1.相关函数(1)`file_get_contents`(2)`fsockopen`(3)`curl_exec`2.相关协议七.
pikachu
救命救敏
·
2023-06-07 21:54
安全
学习
web安全
5.1 - Web漏洞 - XSS漏洞详解
二、XSS概述三、
靶场练习
四、XSS使用步骤五、XSS攻击类型六、XSS流量特征七、XSS的危害八、XSS的防御1、实体转换2、字符过滤一、什么是XSS?
士别三日wyx
·
2023-06-06 22:11
《网络安全入门到精通》
web安全
网络安全
人工智能
ai
burpsuite抓包数据分析
以抓到的
pikachu
的数据为例:POST/
pikachu
/vul/burteforce/bf_form.phpHTTP/1.1#POST请求被抓包的文件http协议是1.1Host:www.xxx.com
是小何不是小盒呀
·
2023-04-20 02:39
每日积累
渗透测试
pikachu
在线靶场(漏洞练习平台)
http://149.248.3.231:8080/自己安装漏洞环境方法这里推荐docker安装1、在github下载源码:https://github.com/zhuifengshaonianhanlu/
pikachu
笑傲code
·
2023-04-20 00:24
信息安全
安全漏洞
安全
Burpsuite密码强解
ps:我们以
pikachu
靶场为例。
Lamar Carpenter
·
2023-04-16 15:11
网络安全
网络安全
pikachu
靶场搭建
本文将讲述
pikachu
靶场的搭建。该靶场集合了许多的漏洞,方便学习。
Lamar Carpenter
·
2023-04-16 15:40
网络安全
网络安全
web漏洞-web文件操作之文件下载与文件读取超详细全解
RoarCTF文件读取真复现六、百度杯Zone真题复现七、小米路由器-文件读取漏洞真实测试一、导图二、引入文件被解析——>文件包含漏洞显示源代码——>文件读取漏洞提示文件下载——>文件下载漏洞三、简单实验1.打开
pikachu
ranzi.
·
2023-04-16 04:41
安全
web安全
网络安全
后端
中间件
pikachu
靶场-暴力破解
开个新坑,以后慢慢填上,至于为什么做篇而不是一条龙,个人感觉还是一篇篇的写比较舒服,写完想看哪一章就看哪一章,不会出现打开一篇文章,还得找一下内容在哪。基于表单的暴力破解暴力破解说通俗点就是一个个试,但是怎么试也是有技巧的弱口令,top1000之类的,这种屡试不爽,很多漏洞文章开篇一个弱口令,再继续其他操作通过工具生成专属字典,例如姓名缩写,生日号码,手机号码等通过已经泄露出来的数据进行爆破这以上
mlws1900
·
2023-04-16 04:57
pikachu
ctf
网络安全
安全
ctf
php
网络安全
web安全
pikachu
靶场-xss
XSS漏洞攻击原理跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。反射型xss(get)看到xss输入框,直接跟看到后台要试万能
mlws1900
·
2023-04-16 04:52
pikachu
网络安全
xss
前端
安全
web安全
ctf
XSS漏洞利用---存储型XSS钓鱼
XSS漏洞利用(本文仅供技术学习与分享)存储型XSS漏洞之钓鱼实验准备
pikachu
平台为存在XSS漏洞平台的站点;用户正常访问该站点;攻击者搭建的,以供收集数据的后台(皮卡丘后台预备好了pkxss平台
汉堡哥哥27
·
2023-04-13 07:11
web
安全
xss
网络安全
Kali搭建DVWA——Web靶场
▣博主主站地址:微笑涛声【www.cztcms.cn】一.DVWA介绍1、DVWA简介DVWA是一款基于PHP和MYSQL开发的web
靶场练习
平台,集成了常见的web漏洞如sql注入,XSS,密码破解等常见漏洞
微笑涛声
·
2023-04-13 04:00
网络安全
linux
DVWA
靶机
DVWA——CSRF漏洞
接上篇文章此文为DVWA
靶场练习
Low首先进入初级页面我们知道这是一个修改密码的,当我们输入密码进行修改后,提示修改成功后,我们会发现这也是一个get型提交。
茶十三
·
2023-04-13 04:30
csrf
前端
PIKACHU
靶场 ——字符和数字型SQL注入练习
目录一、字符型(GET)1.判断传参和注入点2.判断字段数3.判断数据库名4.查找表5.查找字段6.获取数据二、数字型(POST)1.判断传参和注入点2.判断字段数3.获取数据库名4.查表名5.查字段名6.获取数据一、字符型(GET)1.判断传参和注入点进入靶场可以看见一个输入框,所以现在里面判断注入点类型,在输入框中输入了1'后,报错,并且显示到URL中,判断参数提交方式为GET传参在URL栏中
PICACHU+++
·
2023-04-12 08:32
Web安全与渗透测试
sql注入
渗透测试
web安全
网络安全
pikachu
vulnhub DC8
靶场练习
前言这次练习的靶机是vulnhub平台下的DC系列靶机第8台,下载地址为https://www.vulnhub.com/entry/dc-8,367/。挑战该靶机的最终目的是获取root权限,然后读取唯一的flag。这台靶机的总体难度不大,利用的漏洞也是常见的,只要细心观察就可以发现这个突破口。虚拟机配置这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击DC-
rpsate
·
2023-04-11 16:25
vulnhub
渗透测试
靶机
安全漏洞
网络安全
靶场练习
第十七天~vulnhub靶场之dc-9
一、准备工作kali和靶机都选择NAT模式(kali与靶机同网段)1.靶场环境下载链接:https://download.vulnhub.com/dc/DC-9.zip2.kali的ip命令:ifconfig3.靶机的ip扫描靶机ipsudoarp-scan-l二、信息收集1.nmap的信息收集(1)扫描靶机开放的端口及其服务nmap-A-p-192.168.101.1222.网站的信息收集(1)
汉南帝
·
2023-04-11 16:55
#
靶机练习
安全
web安全
linux
靶场练习
第十六天~vulnhub靶场之dc-8
一、准备工作kali和靶机都选择NAT模式(kali与靶机同网段)1.靶场环境下载链接:https://download.vulnhub.com/dc/DC-8.zip2.kali的ip命令:ifconfig3.靶机的ip扫描靶机ipsudoarp-scan-l二、信息收集1.nmap的信息收集(1)扫描靶机开放的端口及其服务nmap-A-p-192.168.101.1212.网站的信息收集(1)
汉南帝
·
2023-04-11 16:54
#
靶机练习
安全
web安全
linux
靶场练习
第九天~vulnhub靶场之dc-1
一、环境搭建靶场下载链接:百度网盘请输入提取码提取码:ih671.查看kali的ip:ifconfig二、信息收集1.使用namp命令主机探测:nmap-sP192.168.101.0/24查看靶机开放端口号和服务:nmap-A192.168.101.111发现开放80端口,访问一下192.168.101.111Drupal简介:Drupal是开源CMS之一,Drupal是CMS内容管理系统,并且
汉南帝
·
2023-04-11 16:24
#
靶机练习
安全
靶场练习
第十四天~vulnhub靶场之dc-6
一、准备工作kali和靶机都选择NAT模式(kali与靶机同网段)1.靶场环境下载链接:百度网盘请输入提取码提取码:bazx2.kali的ip命令:ifconfig3.靶机的ip扫描靶机ip命令:sudoarp-scan-l二、信息收集1.nmap的信息收集(1)扫描靶机开放的端口及其服务nmap-sV-p-192.168.101.119(2)看看详细信息nmap-A-p-192.168.101.
汉南帝
·
2023-04-11 16:24
#
靶机练习
安全
linux
web安全
靶场练习
第十五天~vulnhub靶场之dc-7
一、准备工作kali和靶机都选择NAT模式(kali与靶机同网段)1.靶场环境下载链接:https://download.vulnhub.com/dc/DC-7.zip2.kali的ip命令:ifconfig3.靶机的ip扫描靶机ipsudoarp-scan-l二、信息收集1.nmap的信息收集(1)扫描靶机开放的端口及其服务nmap-A-p-192.168.101.1202.网站的信息收集(1)
汉南帝
·
2023-04-11 16:24
#
靶机练习
安全
linux
web安全
Vulnhub-DC-3
靶场练习
Vulnhub-DC-3daoyuan零、环境配置1、虚拟机:vmware15.5.62、攻击环境:kalilinux2020.3192.168.143.1283、靶机:DC-3靶机直接从虚拟机wmware中打开,注意将网络适配器改为nat模式。可能会遇到如下报错:IDE设备(磁盘/CD-ROM)配置不正确。"ide0:1"上具有一个IDE从设备,但没有主设备。此配置在虚拟机中无法正常运行。请使用
.风溪.
·
2023-04-11 16:21
DC靶机
Vulnhub
靶场练习
DC-1
前言本文作者是新手,全程跟着VulnhubDC-1靶机渗透学习和Vulnhub靶机DC_1渗透两位大佬的教程,照猫画虎,最终也算是完成DC-1的通关。在这个过程中学到了很多东西,所以记录下来。正文环境部分:本文全程使用VmwareWrokstationpro,所下载的DC-1(下载地址)为镜像。攻击机和靶机的网络配置均为默认NAT模式。最终效果如下图。真正的正文:同时打开kali和DC-1,在ka
weidongting111
·
2023-04-11 16:20
linux
经验分享
pikachu
——命令注入
ping第一关没有任何的过滤,直接就可以做出来eval这个可能正常看不出来什么,但是他给了提示,说可能是eval执行。其实就是使用eval()函数。eval()函数作用:把字符串按照PHP代码来计算。该字符串必须是合法的PHP代码,且必须以分号结尾。那我们就可以开始注入,注意一定要以分号结尾
陈艺秋
·
2023-04-09 21:02
csrf
pikachu
-越权漏洞
实战测试
pikachu
靶场——越权漏洞测试平行越权:A用户和B用户属于同一级别用户,但各自不能操作对方个人信息,A用户如果越权操作B用户的个人信息的情况称为平行越权操作。
黑桃鱼
·
2023-04-09 18:04
安全
web安全
CSRF跨站请求伪造 之
pikachu
靶场练习
接下来我们通过
pikachu
靶场里的CSRF测试项对CSRF的几个类型进行测试。CSRF(get)首先打开时一个登
Goodric
·
2023-04-09 10:38
靶场测试
csrf
pikachu
xss-labs练习记录
文章目录XSS简述XSS-labs
靶场练习
记录level1level2level3XSS简述1、本质:前端代码写的有问题,允许用户自己嵌入HTML或者css或者js代码并执行(一般js的危害比较大),从而造成漏洞
Eg-
·
2023-04-08 23:24
xss
web安全
【小迪安全】Day39web漏洞-XXE漏洞
web漏洞-XXE漏洞文章目录web漏洞-XXE漏洞前言前置知识xxe漏洞原理演示案例
pikachu
靶场xml文件读取内网探测RCE-远程代码执行无回显利用xxe漏洞防御方法禁用外部实体引用过滤关键字WAF
楓椛
·
2023-04-05 16:01
小迪安全
渗透测试
安全
web安全
皮卡丘靶场的搭建以及SQL注入攻击(加强版)
一环境准备1搭建环境Windows10及以上版本phpstudy(小皮)
pikachu
(皮卡丘靶场)JDK(java环境变量)burp(抓包工具)2下载链接所有需要的资料都在下方本人的链接直接免费提取!
超巨守门员
·
2023-04-05 13:50
mysql
apache
SQL注入--
靶场练习
提示:本章提到的靶场需要登录注册靶场奉上:封神台靶场文章目录前言一、判断注入类型二、判断几列判断显示位查询数据库名查询表名查询列名爆表结语前言这里我们需要用到上篇的一些知识SQL注入基础教程提示:打开靶场的传送门,会看到以下界面一、判断注入类型?id=1and1=1可以看到,此步正常回显接着输入:?id=1and1=2开始出问题了由此可以判断出是数字型注入二、判断几列?id=1orderby2正常
墨然师兄
·
2023-04-05 09:15
SQL注入
sql
数据库
mysql
上一页
3
4
5
6
7
8
9
10
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他