在一次Web渗透测试中,目标是M国的一个Win+Apache+PHP+MYSQL的网站,独立服务器,对外仅开80端口,网站前端的业务系统比较简单,经过几天的测试也没有找到漏洞,甚至连XSS都没有发现,也未找到网站后台,在收集信息的时候已经排除了C段入侵的可行性(选择C段入侵的时候,需要对目标.网络.路由和国家区域进行分析和判断,如果不经思考和判断地去入侵C段服务器,当你费尽心思拿到某台服务器权限时,往往发现毫无半点用处,特别又是在国外,ARP基本上都没什么希望,当然内网渗透中又是另一回事.) 也…

注:以下漏洞示例已由相关厂商修复,切勿非法测试! 0x01 漏洞挖掘 01  注册 注册中最常见的有两个,一个是恶意注册,另一个是账户遍历.一个好的注册界面应该是这样 或者这样的 而不是这样的 要么使用短信或邮箱进行验证,要么存在难以识别的验证码,使得注册的请求无法批量提交.那么账户遍历是什么意思呢?在注册的时候Web程序往往会有用户名或手机号(或其他什么)检测之类的步骤,以避免相同账号注册两次,比如一般会提示“***用户名已存在!”.我们就可以利用这个步骤去批量尝试一些用户名,如果提示已存在就…

Kali Linux Web 渗透测试— 第二课 代理简介 文/玄魂 课程地址: http://edu.51cto.com/course/course_id-1887.html 目录 shellKali Linux Web 渗透测试— 第二课代理简介 课程目录 Proxy基本原理 正向代理(Forward Proxy) 反向代理(reverse proxy) 透明代理(transparente proxy) Kali linux中的代理工具 Mitmproxy Burp Suite Owasp-…

原文链接:Kali Linux Web渗透测试视频教程—第十九课-metasploit基础 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十九课-metasploit基础...................... 1 metasploit..................................................................................................... 1 基本体系结构..........…

一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: 在Windows和Linux上安装VirtualBox 创建一个Kali Linux虚拟机 更新和升级Kali Linux 为渗透测试配置web浏览器 创建一个属于自己的靶机 为正确的通信配置虚拟机 了解易受攻击的虚拟机上的web应用程序 介绍 在第一章中,我们将介绍如何准备我们的Kali Linux安装,以便能够遵循书中所有的方法,并使用虚拟机建立一个具有脆弱web应用程序的实验室. 1.1.在Windows和Linu…

一．配置KALI Linux和渗透测试环境 在这一章,我们将覆盖以下内容: l  在Windows和Linux上安装VirtualBox l  创建一个Kali Linux虚拟机 l  更新和升级Kali Linux l  为渗透测试配置web浏览器(即在Firefox浏览器下安装一些常用的插件) l  创建一个属于自己的靶机 l  配置网络使虚拟机正常通信 l  了解靶机上易受攻击的web应用程序 介绍 在第一章中,我们将介绍如何准备我们的Kali Linux安装,以便能够遵循书中所有的方法,…

Kali Linux Web 渗透测试视频教—第二十课-利用kali linux光盘或者usb启动盘破解windows密码 文/玄魂 目录 Kali Linux Web 渗透测试视频教—第二十课-利用kali linux光盘或者usb启动盘破解windows密码.......................................................................................................................…

Kali Linux Web 渗透测试— 第二十课-metasploit.meterpreter 原文链接:http://www.xuanhun521.com/Blog/7fc11b7a-b6cb-401d-8641-5202c9b7864a 文/玄魂 目录 Kali Linux Web 渗透测试— 第二十课-metasploit.meterpreter........................ 1 Meterpreter..................................…

Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击 文/玄魂 目录 Kali Linux Web 渗透测试视频教程— 第十六课-拒绝服务攻击...................... 1 DoS............................................................................................................... 2 DDoS.......................…

Kali Linux Web 渗透测试视频教程—第十四课-arp欺骗.嗅探.dns欺骗.session劫持 文/玄魂 目录 Kali Linux Web 渗透测试—第十四课-arp欺骗.嗅探.dns欺骗.session劫持      1 关于嗅探.arp欺骗.会话劫持.............................................................. 1 视频教程地址:http://edu.51cto.com/course/course_id-1887.h…