/* 转载请注明出处,By:珍惜少年时 小知识,只是放在博客吃饭时无聊看看,大牛勿喷。 */ 珍惜少年时博客,专注网络安全 web渗透测试 00x1爆所有库: #该命令等价于show databases;#所以sql语句为:http://127.0.0.1/sqlinjection.php?id=- ...
分类:
数据库 时间:
2016-11-14 00:39:56
阅读次数:
254
一位客户让我们针对只有他们企业员工和顾客能使用的企业内网进行渗透测试。这是安全评估的一个部分,所以尽管我们之前没有使用过SQL注入来渗透网络,但对其概念也相当熟悉了。最后我们在这项任务中大获成功,现在来回顾一下这个过程的每一步,将它记录为一个案例。 “SQL注入”是一种利用未过滤/未审核用户输入的攻 ...
分类:
数据库 时间:
2016-11-09 11:15:32
阅读次数:
281
《算法导论》《算法竞赛入门经典》 《代码整洁之道:程序员的职业素养》 《程序员的自我修养》 《Metasploit渗透测试魔鬼训练营》 《Linux/UNIX系统编程手册》上下册 《UNIX网络编程》上下卷 《UNIX环境高级编程》 《TCP/IP详解》三卷 《C指针编程之道》 《WinSock网络 ...
分类:
其他好文 时间:
2016-11-05 23:38:46
阅读次数:
171
第八章 密码攻击 作者:Willie L. Pritchett, David De Smet 译者:飞龙 协议:CC BY-NC-SA 4.0 这一章中,我们要探索一些攻击密码来获得用户账户的方式。密码破解是所有渗透测试者都需要执行的任务。本质上,任何系统的最不安全的部分就是由用户提交的密码。无论密 ...
分类:
其他好文 时间:
2016-11-04 09:47:57
阅读次数:
511
知识准备:CCNA/CCNP基础计算机知识框架:操作系统、汇编、数据库、网络、安全 木马、灰鸽子、口令破解、用后门拷贝电脑文件 渗透测试工程师 penetration test engineer 《Metasploit渗透测试指南》肯尼《Metasploit渗透测试魔鬼训练营》诸葛建伟《网络攻防技术 ...
分类:
Web程序 时间:
2016-10-31 06:58:15
阅读次数:
248
Burp Target 组件主要包含站点地图、目标域、Target 工具三部分组成,他们帮助渗透测试人员更好地了解目标应用的整体状况、当前的工作涉及哪些目标域、分析可能存在的攻击面等信息,下面我们就分别来看看Burp Target的三个组成部分。 本章的主要内容有: 目标域设置 Target Sco ...
分类:
其他好文 时间:
2016-10-25 14:19:32
阅读次数:
5113
导读 Pentbox是一个包含了许多可以使渗透测试工作变得简单流程化的工具的安全套件。它是用Ruby编写并且面向GNU/Linux,同时也支持Windows、MacOS和其它任何安装有Ruby的系统。在这篇短文中我们将讲解如何在Kali Linux环境下设置蜜罐。 如果你还不知道什么是蜜罐(Hone ...
分类:
系统相关 时间:
2016-10-06 10:40:42
阅读次数:
333
最近的一次渗透测试里,在我们捕获的一些数据包中发现了一些未经加密的 Microsoft SQL Server(MSSQL) 流量。起初,我们认为这样就可以直接嗅探到认证凭证,然而,MSSQL 加密了认证的流量,这就意味着我们需要先解密才能获取到认证凭证。如果安装的是一个自签名证书,就很容易进行破解。 ...
分类:
数据库 时间:
2016-10-01 22:11:19
阅读次数:
217
