vulnhub靶机dusk-Writeup渗透测试

一、信息搜集

打开靶机后还是先确定靶机IP:

arp-scan 192.168.34.0/24

在这里插入图片描述
我的靶机IP为:192.168.34.170,然后扫描一下它的端口开放情况:

nmap 192.168.34.170

在这里插入图片描述
发现它开放的端口还是挺多的,先看一下80端口:
在这里插入图片描述
没什么用,再访问一下8080端口看看:
在这里插入图片描述
从这个页面的得到的有用信息就一个:Local working directory:/var/tmp,知道了它的工作目录是:/var/tmp,然后扫描一下目录看看:

dirb http://192.168.34.170

在这里插入图片描述
并没有什么有用的信息。既然3306端口开着,那就先爆破一下看看:

hydra -l root
资源下载链接为: https://pan.quark.cn/s/7cc20f916fe3 Web渗透测试靶机是一种专为网络安全新手设计的学习平台,它模拟真实的Web应用程序环境,让学习者能够在安全可控的条件下练习渗透测试技术。这种靶机通常包含多种存在不同安全漏洞的Web应用,学习者可以通过查找和利用这些漏洞来提升自己的技能。渗透测试,也称为道德黑客测试,是一种对网络系统进行安全评估的方法,目的是发现并修复潜在的安全风险。在这个过程中,测试者会模拟攻击者的行为,尝试绕过系统的安全防护,以识别可能被恶意攻击者利用的弱点。 “626包厢”可能是一个虚拟机或靶场环境的名称,其中部署了多个Web应用程序,用于练习SQL注入、跨站脚本(XSS)、文件包含、命令注入等常见的渗透测试技术。这个环境可以帮助新手了解如何利用这些漏洞,并学习如何防止它们的发生。DVWA(Damn Vulnerable Web Application)是一款广泛使用的开源Web应用,专为教育目的而设计。它包含了各种常见的安全漏洞,如弱密码、SQL注入、XSS、文件上传漏洞等。通过DVWA,初学者可以学习如何发现这些漏洞,理解它们的工作原理,以及如何编写有效的攻击payload。而sqli-labs-master则专注于SQL注入(SQL Injection)的训练,这是一种常见的Web应用漏洞,攻击者可以通过输入恶意SQL代码来获取未经授权的数据,甚至控制整个数据库。该实验室通常包含多个难度级别,从基础的SQL注入到更复杂的盲注和时间延迟注入,逐步提升学习者的SQL注入测试能力。 在学习和使用这些靶机时,需要掌握以下知识点:一是HTTP协议基础,包括理解请求和响应的结构,以及GET、POST等请求方法;二是Web应用架构,了解常见的后端开发语言,如PHP、ASP.NET、Java等;三是漏洞类型,学会识别SQL注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值