【Web安全】如何正确的去打XSS Payload,见框就插总结技巧篇

XSS练习平台: http://xss-quiz.int21h.jp/ NO.1:对于没有过滤的XSS 认识常用的html标签 <b>粗体文本 探测XSS的过程: 1.构造一个独一无二的正常字符串去提交到文本框 比如:12345qwert 2.然后使用浏览器的F12查看代码,使用鼠标箭头去查看刚刚构造的字符串是否在页面中显示 ……

【内网渗透】信息收集常用命令技巧

收集当前低权限入口机器的基本信息 1.查看当前权限,用户 whoami /user 2.查询系统最近无用户登录记录,这可能会影响后期抓取系统用户明文密码,如果目标系统很长时间没重启过,还是有可能抓到缓存里的明文密码的 query user 3.如果目标系统为 2008r2 64 位企业版,故不用考虑 wdigest 的问题,后期可尝试直接……

【信息收集】Kali Linux之Traceroute

traceroute (Windows系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。TTL值可以反映数据包经过的路由器或网关的数量,通过操纵独立ICMP呼叫报文的TTL值和观察该报文被抛弃的返回信息,traceroute命令能够遍历到数据包传输路径上的所有路由器。traceroute是一条缓慢……