BY Blog

Thinking will not overcome fear but action will.

MSF之ms17-010永恒之蓝漏洞利用

学习学习

MSF之ms17-010永恒之蓝漏洞利用 准备 实验环境: 攻击机:虚拟机Kali系统 IP:192.168.216.130 被攻击机:虚拟机win7 x64系统(关闭防火墙) IP:192.168.216.131 攻击工具:Kali自带的msfconsole工具 开始实验 1.进入MSF(可以终端进入也可以搜索在工具栏打开): 终端命令:msfconsole (roo...

Posted by lll-yz on April 6, 2021

中间人攻击之ARP欺骗

学习学习

中间人攻击之ARP欺骗 学习自–>FreeBuf.com 原理介绍 什么是中间人攻击? 中间人攻击(Man-in-the-MiddleAttack,简称”MITM攻击”),是一种”间接”的入侵攻击,这种攻击模式是通过各种技术手段将攻击者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为”中间人”。 什么是arp? 地址解析协议,即ARP(Addres...

Posted by lll-yz on April 6, 2021

Windows

学习学习

Windows Windows账户和组 默认账户: Administrator-默认的超级管理员 系统超级管理员账户,具有最高权限。在域中和计算机中具有不受限制的权限,可以管理本地或域中的任何计算机,如创建账户、创建组、实施安全策略等。 不被锁定,不能删除,可以重命名。 Guest-默认来宾账户 默认被禁用,不能删除,可...

Posted by lll-yz on April 2, 2021

hydra

学习学习

hydra 一、hydra简介 hydra是著名黑客组织thc的一款开源的暴力密码破解工具,可以在线破解多种密码。 重点是字典,需要强大的字典来支撑。 可支持AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD,...

Posted by lll-yz on April 1, 2021

Linux

学习学习

Linux Linux文件和目录 文件目录结构树: 在Linux系统中,目录被组织成一个:单根倒置树结构,文件从根目录开始,用/来表示,然后再在根目录下创建其他的目录。 Linux重要目录介绍: / : 根目录,位于Linux文件目录结构的顶层,一般根目录下只存放目录,不存放文件,/etc、/bin、/dev、/lib、/sbin应该和根目录放置在应该分区中。 ...

Posted by lll-yz on April 1, 2021

bwapp

学习学习

bwapp bwapp简介 buggy web Application 这是一个集成了各种常见漏洞和最新漏洞的开源Web应用程序,目的是帮助网络安全爱好者、开发人员和学生发现并防止网络漏洞。包含了超过100种漏洞,涵盖了所有主要的已知Web漏洞,包括OWASP Top10安全风险,最重要的是已经包含了OpenSSL和ShellShock漏洞。 bwapp安装 我这里使用的是docke...

Posted by lll-yz on March 30, 2021

xxe原理及利用

学习学习

XML基础知识 什么是XML XML 指可扩展标记语言(EXtensible Markup Language)。 XML 是一种标记语言,很类似HTML。 XML 的设计宗旨是传输数据,而非显示数据。 XML 标签没有被预定义,您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准。 特点: XML仅仅是纯文本,它不会做任何事情。 XML可...

Posted by lll-yz on March 28, 2021

xxe-lab

学习学习

xxe-lab php_xxe 进入php_xxe靶场,可以看到登录框,先随便尝试登录一下: 失败,抓包看看: 可以看到这是POST方式传递的数据,且POST内容看上去很像XML格式。查看源代码: <?php /** * autor: c0ny1 * date: 2018-2-7 */ $USERNAME = 'admin'; //账号 $PASSWORD = 'ad...

Posted by lll-yz on March 28, 2021

docker安装及常用命令

学习学习

docker安装及常用命令 docker简介 Docker 是一个开源的应用容器引擎,让开发者可以打包它们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux 或 Windows 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何的接口。 其中,沙箱是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了...

Posted by lll-yz on March 25, 2021

ssrf-lab

学习学习

ssrf简介 SSRF(Server-Side Request Forgery),即服务器端请求伪造,利用漏洞伪造服务器端发起请求,从而突破客户端获取不到数据限制,本质上是属于信息泄露漏洞。 ssrf漏洞原理: ssrf形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等,而且大部...

Posted by lll-yz on March 22, 2021

FEATURED TAGS
学习 sqli-labs DVWA upload-labs xss-labs 工具 CTF xxe 基础 渗透 命令执行 反序列化 内网渗透 Java 汇编 应急响应
ABOUT ME

Goals determine what you going to be!

✉️ 1721709417@qq.com

FRIENDS