2018-4-7未命名文件

Posted nalanruntu

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2018-4-7未命名文件相关的知识,希望对你有一定的参考价值。

第五周

本周通过看书学到了一些浅显微薄的基本知识。

教材知识框架

web应用程序体系结构及安全威胁
1.web应用体系结构:包括浏览器,web服务,web应用程序,数据库,传输协议
2.web应用安全威胁:
·针对浏览器和终端用户的web浏览安全威胁
·针对传输网络的网络协议安全威胁
·系统层安全威胁
·web服务器软件安全威胁
·web应用程序安全威胁
·web数据安全威胁
3.web应用安全攻防技术概述:
4攻击软件
5.SQL注入
6.XSS攻击
7.web浏览器安全攻防

教材p457,P507的实践作业:

1.seed SQL的注入实验
首先我们运行apache server
技术分享图片
打开php bb2
技术分享图片
配置一下DNS
技术分享图片
进行注入
技术分享图片

2.XSS攻击实验
首先我们用这段语句进行攻击

<script>alert(‘XSS‘)</script>

技术分享图片

5.png

攻击成功
技术分享图片
我们可以利用下段语句进而获取cookies

<script>alert(document.cookie)</script>

技术分享图片

7.png

kali学习

一、工具使用

1.BBQSQL

技术分享图片

8.png

2.DBPwAudit

数据库用户名密码枚举工具

3.HexorBase

图形化的数据库密码破解与数据库连接工具
技术分享图片

4.JSQL

用JAVA语言编写的一个针对SQL注入的应用程序

5.MDBTOOLS

6.oscanner

技术分享图片

10.png

7.SIDGUesser

暴力破解工具
技术分享图片

8.sqldict

9.tnscmd10g

针对oracle的注入工具

10.sqlsus

技术分享图片

12.png

11.sqlninja

技术分享图片

13.png

12.sqlmap

sqlmap 是一个自动SQL射入工具。它是可胜任执行一个广泛的数据库管理系统后端指印,检索遥远的DBMS数据库
技术分享图片
技术分享图片
技术分享图片
技术分享图片
--current-db 查看当前的数据库
技术分享图片
--current-user 查看当前的用户
--dbs 当期存在的数据库
--user 当前的用户
--pass 当前用户的密码
--privilege 当前用户的权限
--tables -D dvwa 针对当前数据库dvwa查看表
技术分享图片
--columns -T users -D dvwa 查看user表中的字段信息
技术分享图片
--dump -C user,password -T users -D dvwa 查看user和password字段的值
技术分享图片
--dump-all 指向某个表 dump所有内容
-r risk提高权限
--forms 表单
--os-cmd 系统命令
--os-shell 获取系统shell
--sql-shell 直接获取sqlshell,执行SQL语句,select load _file(‘/etc/password‘) 获取这个文件

二、web代理

1.owasp zap

技术分享图片

22.png

2.paros

技术分享图片

23.png

3.vega

漏洞扫描软件

4.webscarab

技术分享图片

24.png

5.brupsuite

技术分享图片

25.png

首先配置默认端口8080进行监听
技术分享图片
并进行一些配置更改
技术分享图片
技术分享图片
技术分享图片
一下是brupsuite的官方使用文档
https://legacy.gitbook.com/book/t0data/burpsuite/details

6.XXS

技术分享图片

30.png

xsser -u "http://222.28.136.155/dvwa/vulnerabilities/xss_r/?name=" --

技术分享图片

31.png







































































以上是关于2018-4-7未命名文件的主要内容,如果未能解决你的问题,请参考以下文章

有没有办法关闭代码片段中的命名建议?

XML 属性未获取命名空间前缀

VSCODE 片段 PHP 自动填充命名空间

未解决的对“片段”部分中的符号“”的引用

常用python日期日志获取内容循环的代码片段

回收站视图未显示在片段中