vulnhub靶机DC9
知识点:
SQL注入
获取账号密码
LFI
本地文件包含漏洞
knockd
的保护SSH
机制
绕过knockd
限制暴力破解SSH
openssl创建加密用户
写入文件到passwd
提权
♫日常学习笔记整理♬♬
vulnhub靶机DC9
知识点:
SQL注入
获取账号密码
LFI
本地文件包含漏洞
knockd
的保护SSH
机制
绕过knockd
限制暴力破解SSH
openssl创建加密用户
写入文件到passwd
提权
前面总结了一些xss的基础知识,这一篇准备完成xss-challenges平台的一些题目。xss-challenges是一个模仿真实xss挖洞的情景,在XSS Challenges练习过程中,我们需要用浏览器中的f12中搜索(),找出我们控制的代码所在的位置,然后思考那些个位置哪个或哪几个位置可以被注入我们想要的代码,然后结合上下文进行各种脑洞绕过。
Metasploit是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。当H.D. Moore在2003年发布Metasploit时,计算机安全状况也被永久性地改变了。仿佛一夜之间,任何人都可以成为黑客,每个人都可以使用攻击工具来攻击那些未打过补丁或者刚刚打过补丁的漏洞。软件厂商再也不能推迟发布针对已公布漏洞的补丁了,这是因为Metasploit团队一直都在努力开发各种攻击工具,并将它们贡献给所有Metasploit用户。我们能够通过它发现漏洞并进行快速实施攻击
vulnhub靶机DC-1
知识点:
1、msf的熟练使用以及搜索可利用漏洞(Drupal);
2、留意目标网站的配置文件(慢慢查看别错过重要信息);
3、数据库管理员提权(更新管理员密码或者添加一个新用户);
4、suid提权的命令(nmap、vim、find、bash、more、less、nano、cp)