国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用

1年前作者:xiaojiesec分類:Toy博客閱讀(25)違法舉報

這篇具有很好參考價值的文章主要介紹了第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

目錄

思維導圖

前置知識

案例一:Zblog-密文 MD5 傳輸加密猜解

案例二:服務(wù)類-SSH&RDP 遠程終端猜解

案例三:應(yīng)用類-ZIP&Word 文件壓縮包猜解

案例四:github上收集的常見服務(wù)器設(shè)備,協(xié)議,以及常見平臺默認密碼

思維導圖

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

前置知識

產(chǎn)生原因:

安全意識:自己設(shè)置的xiaojie123弱密碼

初始化:初始密碼為123456,未進行修改

出現(xiàn)領(lǐng)域: web應(yīng)用,安全設(shè)備,平臺組件,操作系統(tǒng)

信息泄露查詢網(wǎng)站:(都是國外的,國內(nèi)禁止搭建社工庫(違法!))

https://monitor.mozilla.org/user????????????
https://haveibeenpwned.com/

可以查看自己是否有過信息泄露,不過只能測試比較大的網(wǎng)站,甚至大多數(shù)都在國外的數(shù)據(jù)

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

社工字典生成網(wǎng)站:密碼字典生成器|在線密碼字典生成

按照指示填入個人信息,生成

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

直接會生成社工密碼字典

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

案例一:Zblog-密文 MD5 傳輸加密猜解

登錄后臺,登錄的時候抓包

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

這里密碼用的是md5加密

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

發(fā)送到intruder,添加變量

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

這里字典是自己寫的一個簡單的字典需要可以從網(wǎng)上下載

這里是md5加密,需要自己設(shè)置

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

爆破出來了

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

密碼進行解密

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

案例二:服務(wù)類-SSH&RDP 遠程終端猜解

Linux最高用戶為root,利用ssh可建立連接

Windows最高用戶為administrator,可以利用rpd建立連接

利用工具hydra,常用參數(shù)

-s PORT 可通過這個參數(shù)指定非默認端口。
-l LOGIN 指定破解的用戶,對特定用戶破解。
-L FILE 指定用戶名字典。
-p PASS 小寫,指定密碼破解,少用,一般是采用密碼字典。
-P FILE 大寫,指定密碼字典。
-e ns 可選選項,n:空密碼試探,s:使用指定用戶和密碼試探。
-C FILE 使用冒號分割格式,例如“登錄名:密碼”來代替-L/-P 參數(shù)。
-M FILE 指定目標列表文件一行一條。
-o FILE 指定結(jié)果輸出文件。
-f 在使用-M 參數(shù)以后,找到第一對登錄名或者密碼的時候中止破解。
-t TASKS 同時運行的線程數(shù),默認為 16。
-w TIME 設(shè)置最大超時的時間,單位秒,默認是 30s。
-v / -V 顯示詳細過程。
server 目標 ip
service 指定服務(wù)名,支持的服務(wù)和協(xié)議:telnet ftp pop3[-ntlm] imap[-
ntlm] smb smbnt http-{head|get} http-{get|post}-form http-proxy
cisco cisco-enable vnc ldap2 ldap3 mssql mysql oracle-listener
postgres nntp socks5 rexec rlogin pcnfs snmp rsh cvs svn icq
sapr3 ssh smtp-auth[-ntlm] pcanywhere teamspeak sip vmauthd
firebird ncp afp 等等。

破解ssh 賬號為root 密碼為123.com的賬戶

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

嘗試建立連接

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

爆破windows,rdp密碼

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

遠程連接,redesktop ip -u username

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

案例三:應(yīng)用類-ZIP&Word 文件壓縮包猜解

爆破zip

自建一個壓縮包,設(shè)置一個密碼

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

自己先寫一個簡單的密碼字典

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

利用工具archpr

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

爆破

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

爆破word文件

一個爆破各種后綴的外國網(wǎng)站:(收費)【官方】PassFab-專注于Windows,Mac,iOS,Android問題解決方案

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

創(chuàng)建一個加密文件

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

這里用的是破解版去破解密碼

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

爆破出來的結(jié)果

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

案例四:github上收集的常見服務(wù)器設(shè)備,協(xié)議,以及常見平臺默認密碼

git網(wǎng)站:

常見設(shè)備與協(xié)議:https://github.com/danielmiessler/SecLists

常見平臺:https://github.com/hetianlab/DefaultCreds-cheat-sheet

第一個網(wǎng)站下載,里面是常見設(shè)備以及協(xié)議的初始賬號密碼或使用頻率最高的密碼

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

利用這一條

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

用fofa搜索一條

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全

嘗試利用admin,admin進行登錄,成功登錄

第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用,web安全,安全文章來源地址http://www.zghlxwxcb.cn/news/detail-850732.html

到了這里,關(guān)于第52天:WEB攻防-通用漏洞&弱口令安全&社工字典生成&服務(wù)協(xié)議&Web應(yīng)用的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔相關(guān)法律責任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • 網(wǎng)絡(luò)安全全棧培訓筆記(WEB攻防-51-WEB攻防-通用漏洞&驗證碼識別&復(fù)用&調(diào)用&找回密碼重定向&狀態(tài)值)

    網(wǎng)絡(luò)安全全棧培訓筆記(WEB攻防-51-WEB攻防-通用漏洞&驗證碼識別&復(fù)用&調(diào)用&找回密碼重定向&狀態(tài)值)

    知識點: 1、找回密碼邏輯機制-回顯驗證碼指向 2、驗證碼驗證安全機制-爆破復(fù)用識別 3、找回密碼客戶端回顯Response狀態(tài)值修改重定向 4、驗證碼技術(shù)驗證碼爆破,驗證碼復(fù)用,驗證碼識別等 詳細點: 找回密碼流程安全: 1、用回顯狀態(tài)判斷-res前端判斷不安全 2、用用戶名重

    2024年01月16日
    瀏覽(34)
  • day33WEB 攻防-通用漏洞&;文件上傳&;中間件解析漏洞&;編輯器安全

    day33WEB 攻防-通用漏洞&;文件上傳&;中間件解析漏洞&;編輯器安全

    先自我介紹一下,小編浙江大學畢業(yè),去過華為、字節(jié)跳動等大廠,目前阿里P7 深知大多數(shù)程序員,想要提升技能,往往是自己摸索成長,但自己不成體系的自學效果低效又漫長,而且極易碰到天花板技術(shù)停滯不前! 因此收集整理了一份《2024年最新網(wǎng)絡(luò)安全全套學習資料》

    2024年04月24日
    瀏覽(49)
  • day33WEB 攻防-通用漏洞&;文件上傳&;中間件解析漏洞&;編輯器安全(1)

    day33WEB 攻防-通用漏洞&;文件上傳&;中間件解析漏洞&;編輯器安全(1)

    2、解析漏洞-nginx.conf 配置不當 二,Web 應(yīng)用編輯器-Ueditor 文件上傳安全 三,實例 CMS平臺-中間件解析編輯器引用 配套資源下載(百度網(wǎng)盤): 鏈接:https://pan.baidu.com/s/11Q9sAPQ9P_ReOP9PKL0ABg?pwd=jgg4? 提取碼:jgg4 本章節(jié)知識點: 1 、中間件安全問題 2 、中間件文件上傳解析 3 、

    2024年04月15日
    瀏覽(28)
  • 網(wǎng)絡(luò)安全全棧培訓筆記(53-WEB攻防-通用漏洞&CRLF注入&URL重定向&資源處理拒絕服務(wù))

    網(wǎng)絡(luò)安全全棧培訓筆記(53-WEB攻防-通用漏洞&CRLF注入&URL重定向&資源處理拒絕服務(wù))

    知識點: 1、CRLF注入-原理檢測利用 2、URL重定向-原理檢測利用 3、Web拒絕服務(wù)-原理檢測利用 #下節(jié)預(yù)告: 1、JSONPCORS跨域 2、域名安全接管劫持 #詳細點: 1.CRLF注入漏洞,是因為Wb應(yīng)用沒有對用戶輸入做嚴格驗證,導致攻擊者可以輸入一些 惡意字符。攻擊者一旦向清求行或首部

    2024年01月15日
    瀏覽(31)
  • WEB攻防通用漏洞&跨域CORS資源&JSONP回調(diào)&域名接管劫持

    WEB攻防通用漏洞&跨域CORS資源&JSONP回調(diào)&域名接管劫持

    目錄 一、同源策略(SOC) 二、跨域資源(COSP) 三、回調(diào)跨域(JSOP) 四、CORS資源跨域-敏感頁面原碼獲取 五、JSONP 回調(diào)跨域-某牙個人信息泄露 六、子域名劫持接管 同源策略 (SOP)-“ 同源 ” 包括三個條件:同協(xié)議、同域名、同端口。 會檢測數(shù)據(jù)包的來源在哪里,進而來判

    2024年02月01日
    瀏覽(32)
  • 35、WEB攻防——通用漏洞&XSS跨站&反射&存儲&DOM&盲打&劫持

    35、WEB攻防——通用漏洞&XSS跨站&反射&存儲&DOM&盲打&劫持

    XSS產(chǎn)生于前端的漏洞,常產(chǎn)生于: XSS分類: 反射型(非持久型) 存儲型(持久型),攻擊代碼被寫入數(shù)據(jù)庫中。常見于:寫日志、留言、評論的地方 DOM型 DOM型XSS與反射型XSS、存儲型XSS的最大區(qū)別在于:DOM型XSS前端的數(shù)據(jù)是傳輸給前端JS代碼進行處理,而反射型XSS、存儲型

    2024年01月25日
    瀏覽(94)
  • 29、WEB攻防——通用漏洞&SQL注入&增刪改查&盲注&延遲&布爾&報錯

    29、WEB攻防——通用漏洞&SQL注入&增刪改查&盲注&延遲&布爾&報錯

    概念:在注入過程中,獲取的數(shù)據(jù)不能回顯至前端頁面,此時我們需要利用一些方法進行判斷或嘗試,這個過程被稱為盲注。 解決:常規(guī)的聯(lián)合查詢注入不行的情況。 分類: 基于布爾的SQL盲注,邏輯判斷。 /blog/news.php?id=1 and if(1=1,sleep(5),0) 基于時間的SQL盲注,延時判斷。

    2024年01月20日
    瀏覽(116)
  • web攻防-通用漏洞&驗證碼識別&復(fù)用&調(diào)用&找回密碼重定向&狀態(tài)值

    web攻防-通用漏洞&驗證碼識別&復(fù)用&調(diào)用&找回密碼重定向&狀態(tài)值

    目錄 一、知識點概述 二、找回密碼過程中涉及到的安全問題 三、案例演示 驗證碼回顯 修改Response狀態(tài)值 驗證碼爆破 四、真實案例1 更改狀態(tài)值 驗證碼接口調(diào)用 五、真實案例2 用戶名重定向 六、安全修復(fù)方案 找回密碼邏輯機制 - 回顯 驗證碼 指向。 驗證碼驗證安全機制

    2024年02月04日
    瀏覽(55)
  • 28、web攻防——通用漏洞&SQL注入&HTTP頭XFF&COOKIE&POST請求

    28、web攻防——通用漏洞&SQL注入&HTTP頭XFF&COOKIE&POST請求

    $_GET :接收get請求,傳輸少量數(shù)據(jù),URL是有長度限制的; $_POST :接收post請求; $_COOKIE :接收cookie,用于身份驗證; $_REQUEST :收集通過 GET 、POST和COOKIE 方法發(fā)送的表單數(shù)據(jù); $_SERVER :接收數(shù)據(jù)包中的一些內(nèi)容,如瀏覽器信息、當前訪問url地址等; 網(wǎng)站功能點: 后臺要記錄

    2024年01月19日
    瀏覽(22)
  • day31WEB攻防-通用漏洞&文件上傳&js驗證&mime&user.ini&語言特性

    day31WEB攻防-通用漏洞&文件上傳&js驗證&mime&user.ini&語言特性

    目錄 1.JS驗證 2.JS驗證+MIME? 3.JS驗證+.user.ini? 4.JS驗證+.user.ini+短標簽 (ctfshow154,155關(guān)) 5.JS驗證+.user.ini+短標簽+過濾 [ ] 6.JS驗證+.user.ini+短標簽+加過濾+文件頭 有關(guān)文件上傳的知識 1.為什么文件上傳存在漏洞 ? ? ? ?上傳文件時,如果服務(wù)瑞代碼未對客戶端上傳的文件進行嚴

    2024年01月25日
    瀏覽(33)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包