《Web安全渗透全套教程(40集)》学习笔记 | 文d件d包d含d渗d透d原理及实验

Posted COCOgsta

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《Web安全渗透全套教程(40集)》学习笔记 | 文d件d包d含d渗d透d原理及实验相关的知识,希望对你有一定的参考价值。

学习视频来源:B站《Web安全渗透全套教程(40集)》

个人在学习的同时,也验证了视频中的实验部分,现将授课笔记和实验笔记整理下来。

项目实验环境

写shell.php文件,一句话木马

原理及危害

绿色才是应该包含的,红色和黄色的为不应包含的

低安全级别渗透

低安全级别

默认包含了include.php文件

查看低安全级别下的源代码,没有做任何过滤

本地文件包含

本地文件包含系统文件(URL路径为参考路径)

在fi目录下创建y.txt文件,选择“File Inclusion”,修改地址栏地址,可以包含创建的文件

本地文件包含+webshell

使用edjpgcom程序为jpg文件增加代码

文件上传成功

使用文件包含,需输入相对路径执行jpeg文件,出现乱码

网站服务器目录下生成一句话木马文件

之后可以使用中国菜刀访问服务器(因MAC没有中国菜刀,使用老师的图)

使用菜刀创建文件

远程文件包含+webshell

kali服务器启动apache2

创建yangge.txt,包含生成木马的语句

使用File Inclusion,包含远程文件

根据一句话木马,生成了shell50.php

中安全级别渗透

中安全级别

只对远程文件包含有帮助

远程文件包含+webshell

创建一句话木马

确认可以正常访问

执行远程文件

并没有出现shell500.php文件

但如果打乱http://,则可以生效

出现shell500.php

高安全级别渗透

调整级别为高

只能包含include.php

以上是关于《Web安全渗透全套教程(40集)》学习笔记 | 文d件d包d含d渗d透d原理及实验的主要内容,如果未能解决你的问题,请参考以下文章

《Web安全渗透全套教程(40集)》学习笔记 | 文d件d包d含d渗d透d原理及实验

前言-小迪web安全渗透培训视频笔记

网络安全系统教程+渗透测试+学习路线(自学笔记)

网络安全学习渗透测试篇01-DVWA靶场环境搭建教程

清华大牛终于分享出了998集Java全套视频(含课件笔记和学习路线)

内网渗透横向攻击流程