Web in Linux小笔记001

简介: Linux灾难恢复:   Root密码修复 Centos single   Filesystem是硬盘文件根目录,无法再cd ..就像macitosh 硬盘图标 Pwd:显示绝对路径 MBR修复 模拟MBR被破坏和修复   C语言死循环程序   #include int main(vo...
+关注继续查看

Linux灾难恢复:

 

Root密码修复

Centos single

 

Filesystem是硬盘文件根目录,无法再cd ..就像macitosh 硬盘图标

Pwd:显示绝对路径

MBR修复

模拟MBR被破坏和修复

 

C语言死循环程序

 

#include

int main(void)

{

 Int a;

 While(1)

 {printf(“please input your number”);

 Scanf(“%d”,&a);

 Printf(“your input is %dn”,a);

}

 

{挂载:mount [-参数][设备名称][挂载点]

挂载点是一个目录

 

BIOS包含post加电自检

Basic input output system

一组固化到计算机主板上ROM芯片上的程序,保存着输入输出程序、加电自检程序、自启动程序

Cmos

Bios分为三部分

第一部分:加电自检:硬件检查

第二部分:初始化

第三部分:引导程序:引导操作系统从开始扇区(第一个扇区)读取引导记录,把电脑控制权转给引导记录。

本机子进入biosFn+F2(狂按)

Bios—MBR—boot loader—kernelinitrel

 

 

Web安全:

Webshell

一句话木马

 

提权

后门

跳板

 

弱口令:

社工

lowpassword

http

ftp

ssh

 

远程拒绝服务:损人不利己的攻击

 

远程溢出:业界最凶残,最暴力的KO方法

 

跨站漏洞

窃取用户cookie/影响用户体验

 

网页挂马

 

 

上传漏洞

双文件、后缀、解析

 

目录遍历/文件下载

 

信息泄露

测试文件:
http://10.0.0.111/test.php

站点绝对路径——DOCUMENT_ROOT

操作系统类型

应用版本信息——SERVER_SOFTWARE

错误处理:

http://10.0.0.111/cmseasy/index.php?case=archive

 

解析漏洞

Apache

Test.php.xx

IIS

Test.asp/test.jpg

Test.asp;1.jpg

 

编辑器漏洞

Fckeditor

Ewebeditor

http://10.0.0.8/ewebeditor/db/ewebeditor.mdb

 

本地文件包含

用户文件

http://10.0.0.111/index .php?lang=../../../../../../../etc/password

 

万能密码:

1’ or ‘1’=’1

Select * from user where n=1’ or ‘1’=’1

 

认证绕过/SQL注入漏洞/写权限漏洞

 

框架漏洞

Struts2远程命令执行

http://10.0.0.6:8080/ims/ims/userLogin.action

ThinkPHP任意代码执行漏洞

http://10.0.0.6:99/index.php?s=

 

【常见的攻击密码】

口令猜解/暴力破解

XSS盲打

SQL注入

远程溢出

文件上传

敏感文件泄露

解析漏洞攻击

拒绝服务攻击

本地提权

逻辑漏洞

 

命令

Whoami

Ifconfig

Nutstat –ntlp

Ls

Cat

Service_____ start/stop

Wget

Apt-get

Curl

Ipython

 

 

作业:

网上下载一份php源代码

放在/var/www/html目录下

 

使用拼接方式形成SQL语句

Sql_login=”select password from user where username=”.$_post[user]

Information schema

 

1.判断注入点:数值+-  字符 

2.order by (十二分法) 猜列数

3.union select 1,2,3,4,5id name age - -

找到网页上输出位置

4.在输出位置填入敏感函数测试

5. 利用information_schema库读出目标库名称

6. 利用information_schema库读出表名称

7. 利用information_schema库读出列名称

8. 利用information_schema库读出敏感数据

 

1.spl-u(urt)—dbs

-D—tables

-D-T关心表—columns

-D-T-C关心列—dump

-V 1-7

 

Where id=.$_GE[id’]

 

二次注入

 

目录
相关文章
|
1月前
|
移动开发 JavaScript 前端开发
Web APIs (6) - 笔记
能够利用正则表达式完成小兔鲜注册页面的表单验证,具备常见的表单验证能力。 正则表达式(Regular Expression)是一种字符串匹配的模式(规则)。 使用场景: 例如验证表单:手机号表单要求用户只能输入11位的数字 (匹配)。 过滤掉页面内容中的一些敏感词(替换),或从字符串中获取我们想要的特定部分(提取)等 。
22 1
|
1月前
|
存储 消息中间件 JSON
Web APIs (5) - 笔记
能够利用JS操作浏览器,具备利用本地存储实现学生就业表的能力
39 1
|
1月前
|
JavaScript 算法 API
Web APIs (4) - 笔记
进一步学习 DOM 相关知识,实现可交互的网页特效 能够插入、删除和替换元素节点 能够依据元素节点关系查找节点 掌握 Date 日期对象的使用,动态获取当前计算机的时间。 ECMAScript 中内置了获取系统时间的对象 Date,使用 Date 时与之前学习的内置对象 console 和 Math 不同,它需要借助 new 关键字才能使用。
30 1
|
1月前
|
JavaScript 前端开发
Web APIs (3) - 笔记
事件流是对事件执行过程的描述,了解事件的执行过程有助于 加深对事件的理解,提升开发实践中对事件运用的灵活度。
24 1
|
1月前
|
JavaScript 前端开发
Web APIs (2) - 笔记
学会通过为DOM注册事件来实现可交互的网页特效。 能够判断函数运行的环境并确字 this 所指代的对象 理解事件的作用,知道应用事件的 3 个步骤 学习会为 DOM 注册事件,实现简单可交互的网页特交。
22 2
|
1月前
|
移动开发 JavaScript 前端开发
Web APIs (1) - 笔记
严格意义上讲,我们在 JavaScript 阶段学习的知识绝大部分属于 ECMAScript 的知识体系,ECMAScript 简称 ES 它提供了一套语言标准规范,如变量、数据类型、表达式、语句、函数等语法规则都是由 ECMAScript 规定的。浏览器将 ECMAScript 大部分的规范加以实现,并且在此基础上又扩展一些实用的功能,这些被扩展出来的内容我们称为 Web APIs。
32 2
|
3月前
|
前端开发
css及移动端web笔记 | 青训营笔记
css及移动端web笔记 | 青训营笔记
42 0
|
8月前
|
存储 安全 算法
web渗透听课笔记
web渗透听课笔记
51 0
|
10月前
|
存储 编解码 缓存
Web多媒体入门| 青训营笔记
Web多媒体入门| 青训营笔记
62 0
Web多媒体入门| 青训营笔记
|
10月前
|
Rust 前端开发 JavaScript
Web 标准与前端开发 | 青训营笔记
Web 标准与前端开发 | 青训营笔记
73 0
Web 标准与前端开发 | 青训营笔记
相关产品
云迁移中心
推荐文章
更多