渗透测试
未读
shell和反弹Shell原理与实现
本文详细介绍了正向shell和反向shell的区别,以及如何使用不同方法实现这两种shell。主要内容包括:
1. 正向shell和反向shell的区别。正向shell是攻击机主动连接目标机并获取shell,而反向shell是目标机主动连接攻击机,攻击机获取shell。通常由于防火墙等原因,更倾向于使用反向shell。
2. 实现正向shell和反向shell的多种方法,包括使用netcat、bash、exec、telnet、awk、编程语言等。还提供了不同操作系统之间反弹shell的命令。
3. 基于SSL证书加密的反向shell实现方法,包括生成证书、监听、目标机执行反弹等步骤。
4. 提供了正向shell连接的Python脚本,包括Linux和Windows下的正向连接脚本。
5. 文章最后强调,这些技术仅供学习,禁止用于非法攻击。
渗透测试
未读
各类安全扫描器的安装与使用
本文介绍了三种安全扫描器的安装和使用方法。首先是AppScan扫描器,需要安装.NET Framework运行库,通过替换相应文件和导入IBM的License文件进行安装。AppScan支持主动和被动扫描,用户可新建扫描任务并录制登录事件,扫描结果用于漏洞分析。其次是AWVS扫描器,安装过程中需设置账号密码和配置服务信息,支持添加Target任务、配置站点登录,并查看、生成扫描报告。最后是Nessus扫描器,安装完成后需在线激活,支持新建不同类型的扫描任务,如Host Discovery和Advanced Scan,用于检测网络内的主机和端口漏洞。三种扫描器均需注意相关配置和破解步骤,以确保正常使用。
渗透测试
未读
MsfVenom进行木马制作
本文介绍了如何使用MsfVenom工具制作木马,包括Payload和Shellcode的概念,以及攻击载荷的分类。文章详细说明了如何生成Windows和Linux平台的反向和正向木马,并演示了实际操作步骤。同时,还讲解了如何将木马绑定到正常应用程序中,以及如何生成和部署PHP木马。文章最后强调了所有操作仅限于学习目的,禁止用于非法活动。
渗透测试
未读
MSF 图形化界面 Viper安装
Viper是一款内网渗透图形化工具,集成了杀软绕过、内网隧道、文件管理等功能,并模块化了MITRE ATT&CK中的常用技术,包含55个模块。用户可通过浏览器进行操作。文章提供了在Kali系统上通过Docker安装Viper的步骤,包括环境搭建、建立目录、配置docker-compose.yml以及启动服务。另外,也介绍了通过命令行直接安装Viper的方法,并指出可能遇到的错误及解决办法。安装后,可通过终端或浏览器访问Viper界面进行内网渗透测试。项目代码托管于GitHub。
渗透测试
未读
渗透测试PTES标准流程
本文详细介绍了渗透测试的PTES标准流程,包括渗透测试的定义、必要性、方法类型和目标类型。PTES标准将渗透测试分为七个阶段:前期交互、信息收集分析、威胁建模、漏洞分析、渗透攻击、后渗透测试和渗透测试报告。文章强调了渗透测试必须得到客户书面授权,且在《网络安全法》的规定下进行。此外,文章还比较了渗透测试与APT(高级可持续威胁攻击)的区别,并提出了渗透测试中必须的声明和注意事项。最后,指出渗透测试报告的重要性,并强调了报告应站在客户角度,帮助他们提升安全意识和修补安全漏洞。
使用Burpsuite暴力破解
本文介绍了如何使用Burp Suite工具进行暴力破解登录密码和识别图形验证码。首先,Burp Suite作为一个集成化的渗透测试工具,其功能包括拦截请求并发送到Intruder模块进行密码破解。文章详细展示了如何设置攻击类型、标记变量、设置密码字典以及使用百度智能云的文字识别服务来识别图形验证码。最后,结合使用字典攻击和验证码识别,实现对登录密码和图形验证码的同时破解。文章强调,这些技术仅供学习,禁止用于非法攻击。