HgTrojan blog一次简单的web枚举夺旗
┌──(root㉿HgTrojan)-[~]└─# dirsearch -u 94.237.56.188:56781/usr/local/lib/python3.11/dist-packages/requests/__init__.py:102: RequestsDependencyWarning: urllib3 (1.26.16) or chardet (5.2.0)/charset_norm
利用GoBuster扫描网站目录
发现 Web 后,我们应该检查一下是否可以在 Web 服务器上发现任何不适合公共访问的隐藏文件或目录。这时我们可以使用 dirsearch 或 GoBuster 等工具来执行此目录枚举。有时我们会发现隐藏的功能或页面/目录暴露敏感数据,这些数据可用于访问 Web 应用程序,甚至是 Web 服务器本身的远程代码执行。介绍GoBuster 是一种多功能工具,允许执行 DNS、虚拟主机和目录暴力破解。该
安装SecLists密码字典表
介绍SecLists 是安全测试人员的伴侣。它是在安全评估期间使用的多种类型的列表的集合,收集在一个位置。列表类型包括用户名、密码、URL、敏感数据模式、模糊测试有效负载、Web Shell 等等。目标是使安全测试人员能够将此存储库拉到新的测试框中,并可以访问可能需要的每种类型的列表。安装Zipwget -c https://github.com/danielmiessler/SecLists/a
HTTP状态码
状态码意义100服务器已收到并理解,请继续发送101服务器同意切换协议102服务器已收到并正在处理请求,但尚无可用的响应103早期提示200正常201满足请求,创建新资源202请求已被接受处理,但处理尚未完成。该请求最终可能会也可能不会被处理,并且在处理发生时可能会被禁止203非权威信息,服务器是一个转换代理204无内容205重置,无返回206仅提供部分内容207多状态。默认情况下后面跟随的消息正
以 bob 用户身份连接到SMB
任务列出目标主机上可用的 SMB 共享。以 bob 用户身份连接到可用共享。连接后,访问名为“flag”的文件夹并提交 flag.txt 文件的内容。信息IP:10.129.42.254密码:Welcome1过程┌──(root㉿HgTrojan)-[~] └─# smbclient \\\\10.129.42.254\\users Password for [WORKGROUP\root]: T