Web in Linux小笔记001

Linux灾难恢复:

 

Root密码修复

Centos
single

 

Filesystem是硬盘文件根目录,无法再cd ..就像macitosh
硬盘图标

Pwd:显示绝对路径

MBR修复

模拟MBR被破坏和修复

 

C语言死循环程序

 

#include

int
main(void)

{

 Int
a;

 While(1)

 {printf(“please input
your number”);

 Scanf(“%d”,&a);

 Printf(“your input is
%d、n”,a);

}

 

{挂载:mount [-参数][设备名称][挂载点]

挂载点是一个目录

 

BIOS包含post加电自检

Basic
input output system

一组固化到计算机主板上ROM芯片上的程序,保存着输入输出程序、加电自检程序、自启动程序

Cmos

Bios分为三部分

第一部分:加电自检:硬件检查

第二部分:初始化

第三部分:引导程序:引导操作系统从开始扇区(第一个扇区)读取引导记录,把电脑控制权转给引导记录。

本机子进入bios:Fn+F2(狂按)

Bios—MBR—boot loader—kernel、initrel?

 

 

Web安全:

Webshell

一句话木马

 

提权

后门

跳板

 

弱口令:

社工

很low的password

http

ftp

ssh

 

远程拒绝服务:损人不利己的攻击

 

远程溢出:业界最凶残,最暴力的KO方法

 

跨站漏洞

窃取用户cookie/影响用户体验

 

网页挂马

 

 

上传漏洞

双文件、后缀、解析

 

目录遍历/文件下载

 

信息泄露

测试文件:
http://10.0.0.111/test.php

站点绝对路径——DOCUMENT_ROOT

操作系统类型

应用版本信息——SERVER_SOFTWARE

错误处理:

http://10.0.0.111/cmseasy/index.php?case=archive

 

解析漏洞

Apache

Test.php.xx

IIS

Test.asp/test.jpg

Test.asp;1.jpg

 

编辑器漏洞

Fckeditor

Ewebeditor

http://10.0.0.8/ewebeditor/db/ewebeditor.mdb

 

本地文件包含

用户文件

http://10.0.0.111/index
.php?lang=../../../../../../../etc/password

 

万能密码:

1’ or
‘1’=’1

Select *
from user where n=1’ or ‘1’=’1

 

认证绕过/SQL注入漏洞/写权限漏洞

 

框架漏洞

Struts2远程命令执行

http://10.0.0.6:8080/ims/ims/userLogin.action

ThinkPHP任意代码执行漏洞

http://10.0.0.6:99/index.php?s=

 

【常见的攻击密码】

口令猜解/暴力破解

XSS盲打

SQL注入

远程溢出

文件上传

敏感文件泄露

解析漏洞攻击

拒绝服务攻击

本地提权

逻辑漏洞

 

命令

Whoami

Ifconfig

Nutstat
–ntlp

Ls

Cat

Service_____ start/stop

Wget

Apt-get

Curl

Ipython

 

 

作业:

网上下载一份php源代码

放在/var/www/html目录下

 

使用拼接方式形成SQL语句

Sql_login=”select password from user where
username=”.$_post[user]

Information schema

 

1.判断注入点:数值+- 
字符’  “

2.order by
(十二分法)
猜列数

3.union
select 1,2,3,4,5(id name age - -

找到网页上输出位置

4.在输出位置填入敏感函数测试

5.

利用information_schema库读出目标库名称

6.

利用information_schema库读出表名称

7.

利用information_schema库读出列名称

8.

利用information_schema库读出敏感数据

 

1.spl-u(urt)—dbs

-D库—tables

-D库-T关心表—columns

-D库-T表-C关心列—dump

-V
1-7

 

Where
id=.$_GE[id’]

 

二次注入

 

时间: 2024-09-20 15:32:21

Web in Linux小笔记001的相关文章

Web in Linux小笔记001

Linux灾难恢复:   Root密码修复 Centos single   Filesystem是硬盘文件根目录,无法再cd ..就像macitosh 硬盘图标 Pwd:显示绝对路径 MBR修复 模拟MBR被破坏和修复   C语言死循环程序   #include int main(void) {  Int a;  While(1)  {printf("please input your number");  Scanf("%d",&a);  Printf(&

Web in Linux小笔记001

Linux灾难恢复:   Root密码修复 Centos single   Filesystem是硬盘文件根目录,无法再cd ..就像macitosh 硬盘图标 Pwd:显示绝对路径 MBR修复 模拟MBR被破坏和修复   C语言死循环程序   #include int main(void) {  Int a;  While(1)  {printf("please input your number");  Scanf("%d",&a);  Printf(&

kali linux web渗透测试学习笔记

    kali linux web渗透测试学习笔记 metasploit使用方法: 启动: 第一步:启用Postgresql服务.service postgresql start 第二步:启用metasploit服务.service matasploit start 第三步:启动框架.msfconsole 一个ASP站点的sql注入 测试数字型注入点 1.网址:asp?ID+13,后面加',看看是什么数据库,然后输入1=1,1=2,得到数据库是microsoft acess 2.转用sqlma

基于busybox的Linux小系统制作 (initrd)

我们有时候有需要在busybox基础上,制作linux,可是却不知道具体怎么做,这里将对基于busybox的linux小系统制作做出详细的步骤说明.准备环境:1.一个Redhat完整系统的虚拟机,本次实例使用的是Redhat Enterprise Linux 5.82.在主虚拟机上添加一块硬盘作为小系统的存储盘,这里添加的是IDE硬盘,3.准备linux内核源码以及busybox源码,这里使用linux-2.6.38.5和busybox-1.20.2版本4.复制当前系统上的内核配置(/usr/s

pyDash:一个基于 web 的 Linux 性能监测工具

pyDash 是一个轻量且基于 web 的 Linux 性能监测工具,它是用 Python 和 Django 加上 Chart.js 来写的.经测试,在下面这些主流 Linux 发行版上可运行:CentOS.Fedora.Ubuntu.Debian.Raspbian 以及 Pidora . 你可以使用这个工具来监视你的 Linux 个人电脑/服务器资源,比如 CPU.内存.网络统计,包括在线用户的进程以及更多.仪表盘完全由主要的 Python 发行版本所提供的 Python 库开发,因此它的依赖

关于进程间通信的Linux小程序_Linux

利用工作之余为小伙伴写了份作业,关于进程间通信的.题目如下: "父进程从键盘上接受1000个数据,对其求和sum1,子进程对这1000个数平方和sum2,结果传给父进程,父进程将sum1+sum2后,打印结果." 要求:用大小为10的共享区传递1000个数据:子进程用消息机制将sum2传给父进程.  主要利用共享内存实现进程间通信,使用管道实现进程间竞争关系,FreeBSD下测试通过.代码如下:时间有限,有可能有些不足,希望高手给予指点. #include <stdio.h>

用IIS建立高安全性Web服务器的“小窍门”

本文主要讲述的是用IIS建立高安全性Web服务器的实际操作步骤,众所周知,IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,如何加强IIS的安全机制.建立一个高安全性能的Web服务器,已成为IIS设置中不可 忽视的重要组成部分.IIS(Internet Information Server)作为当今流行的Web服务器之一,提供了强大的Internet和Intranet服务功能,如何加强IIS的安

.net+oracle+crystalReports开发web应用程序学习笔记(二)

oracle|web|笔记|程序 上次提到基本的配置注意问题,现在开始实际开发oracle中的问题 一 oracle 数据库的连接 但你装了oracle的客户端,在配置时就已经指定了数据库服务器,所以连接时主要由三个元素就可以连接上数据库,数据库的名称(即SID),用户名,密码 SqlConnection con=new SqlConnection("Provider=MSDAORA.1;User ID=UserID;Data Source=xf;Password=password")

关于java性能的小笔记

  一.大规模高并发访问的性能分析: 1.应用服务器中JVM的优化: 在安装JDK后,有两个JVM虚拟机,分别是server jvm和 client jvm.其中server jvm比client jvm进行了更多的优化,所以在开发和测试Web应用系统时,应用指定服务器的jvm虚拟机为server jvm.        启动client jvm 和server jvm的方式:        Java –client yourclass        Java –server yourclass