工具獲取方式在文末
Burp Suite
Burp Suite 是用於攻擊web 應用程序的集成平臺,包含了許多工具。Burp Suite為這些工具設計了許多接口,以加快攻擊應用程序的過程。所有工具都共享一個請求,並能處理對應的HTTP 消息、持久性、認證、代理、日誌、警報。
- Proxy代理模塊
該模塊是核心模塊,主要用於截獲並修改HTTP/HTTPS數據包。
- Repeater重放模塊
用於測試Cookie或User-Agent是否存在注入點,以及POST數據包中是否存在SSRF。
- Intruder暴力破解模塊
數據庫撞庫等操作。
- Decoder解碼模塊
對HTTP/HTTPS中需要的數據進行編碼或解碼。
- Comparer比較模塊
在像Bool盲注的正確和錯誤的回顯題中使用。
Sqlmap
Sqlmap是一款開源的可以自動檢測並利用SQL注入漏洞的工具。
閱讀推薦->Python黑客攻防(八)運用sqlmap對sqli-labs進行SQL注入 .
Sqlmap常用參數
Tamper通常用來繞過一些過濾或WAF。
常用Tamper及作用
Nmap
Nmap是一個網絡連接端掃描軟件,用來掃描網上電腦開放的網絡連接端。確定哪些服務運行在哪些連接端,並且推斷計算機運行哪個操作系統(這是亦稱 fingerprinting)。它是網絡管理員必用的軟件之一,以及用以評估網絡系統安全。
命令格式:nmap [掃描類型] [選項] {目標或目標集合}
常用主機發現相關參數
常用掃描參數
掃描速度相關參數
掃描端口相關參數
常用掃描命令:
nmap -sS -sV -p- 192.168.1.1
nmap -v -T4 -A 192.168.1.1/24
工具獲取方式:
私信回覆:001 領取更多幹貨
分享到:
