文享日志

Kali WEB应用渗透之漏洞发现

Linux 渗透

发表于2018年02月12日23:44:24

0条评论 228次阅读

[firefox] hackbar插件

方便修改地址参数,也可以修改post请求等。可以对服务器应用进行测试


[firefox] tamper data插件

拦截浏览器提交的表单,并且允许我们修改要发送的请求


XSS攻击:

在网页文本域中输入的内容,服务器端不加分辨呈献给用户,此时用户可以在网页中加载脚本。


SQL注入:

在输入域提交的内容,服务端不加分辨,直接将内容构造在SQL语句,在数据库进行查询。我们可以构造语句,进行提交,使查询失效


Cookie中的漏洞:

[firefox] cookie manager+插件

没有HTTPonly标识的Cookie可以在客户端被修改,如果存在跨站脚本漏洞(XSS),攻击者就可以模拟用户会话


查找文件包含:

构造url链接,判断文件是否在服务器上

http://192.168.1.171/mult/page?=index.php

http://192.168.1.171/mult/page?=../../index.php


http://192.168.1.171/mult/page?=https://www.baidu.com

连接到其他网域的文件,这种文件如果被服务端可执行代码如PHP,系统可能沦陷

http://192.168.1.171/mult/page?=../../../../../etc/passwd 

可以查看到服务器操作系统文件


👍 0  👎 0
共有0条评论

发表新评论

提交

广告展示

腾讯云推广 阿里云推广