web渗透

web渗透测试笔记

web渗透

【分享】phpmyadmin爆破工具

阅读(2582)评论(0)

phpmyadmin爆破工具分享 1.新建用户名字典(一般为:root)。密码字典可以先通过弱口令进行爆破,实在不行可以使用 字典生成工具 来生成密码字典爆破 2.填入phpmyadmin地址 选择用户名字典与密码字典 选择开始爆破 坐等一段时间就出来了 下载

web渗透

【分享】字典生成器

阅读(439)评论(0)

字典生成器 字典生成器可以配合暴力破解使用,达到破解密码的作用(软件源于网络) 1.打开软件,根据自身情况选择生成的字典 2.配置完成后点击生成字典。生成完成后打开相对应的目录查看字典文件 字典文件有时候会很大(几个G都有),建议先尝试弱口令...

web渗透

【教程】Windows下运行sqlmap

阅读(703)评论(0)

windows下运行sqlmap注入神器 sqlmap是基于Python2编写的,所以需要安装python2运行环境 1.傻瓜式安装 python2, 根据Windows版本下载相对应的python版本 2.安装完成后配置环境变量。右击计算机,选择属性 > 高级系统设置 >...

web渗透

【分享】Acunetix网站漏洞扫描工具

阅读(533)评论(0)

Acunetix 漏洞扫描工具破解版(内置注册机) Acunetix是一款网络漏洞扫描软件,它可以检测网络的安全漏洞。(简称awvs) 1.打开 Acunetix 选择 New Scan新建扫描 2.填写扫描网站 点击 next  3.如果...

web渗透

【教程】利用MySQL拿webshell

阅读(536)评论(0)

利用MySQL拿webshell 前提:在知道数据库地址、数据库用户名、密码的情况下(先在本地的数据库验证一下想法的可行性) 1.打开任意数据库并创建一个表 create TABLE a (cmd text NOT NULL); 2.插入一句话木马 insert INTO a (cmd) VALUES(...

web渗透

【教程】DVWA系列之文件上传

阅读(595)评论(0)

DVWA文件上传(File Upload) LOW级别 1.通过对LOW级别的核心代码审查可以看到代码未对文件进行过滤 因此可以直接上传一句话木马文件 2.新建文本并插入PHP一句话保存为.php文件 上传成功后访问文件地址,如果页面显示空白或乱...

web渗透

【教程】DVWA系列之文件包含

阅读(776)评论(0)

DVWA文件包含(File Inclusion) LOW级别 1.通过对LOW级别的核心代码进行审查,可以看到代码对page参数没有进行任何过滤 2.创建文本文件,内容如下。并将其后缀名改为JPG(某些网站只能上传图片或其他类型文件,所以我们用jpg来模拟,文件包含漏洞会将任何文件类型以P...

web渗透

【教程】DVWA系列之跨站请求伪造

阅读(439)评论(0)

DVWA跨站请求伪造(CSRF) LOW级别 前提:管理员使用浏览器A登录DVWA,攻击者发送恶意链接给管理员而管理员用浏览器B访问恶意链接,恶意链接不会生效会跳转到DVWA登录页面。而使用浏览器A(登陆后带cookie)访问恶意链接就能实现密码的修改。 1.通过对url的观察 发现p...