在kali有存在的字典文件在kali下/usr/share/wfuzz/wordlist不同的类型都放在不同的文件里下面简单介绍一下 文件一general 里面都是放的是猜网站文件目录的12big.txt 对子目录的爆破的字典http_methods.txt http方法的字典 文件二Injections进行注入的12345bad_chars.txt 坏字符字典SQL.txt进行SQL注入的字典Traversal.txt 进行远程文件包含和本地文件包含的字典XML.txt 进行XML注入的字典XSS.txt进行XSS的字典 文件三stress压力测试的 文件四vulns进行文件便利12dirTraversal-nix.txt 这个文件还是挺大的是进行linux文件便利的dirTraversal-win.txt 这个文件还是挺大的是进行win文件便利的

任务086：手动漏洞挖掘（二） 这个是我的看的教程的笔记。里面是我自己实验的照片。 挖掘漏洞原则挖掘漏洞原则是非常非常重要的 所有的变量所有的变量都要去尝试，用各种各样的注入攻击手段尝试每一个变量每一个可以提交的数据的位置都要去尝试提交注入 所有的头还要关住HTTP的头也是可以注入信息也可以完成相应的注入应为头也可以判断一个条件重定要关注cookie（苦k） 逐个变量删除应为在当前页面提交是不关注这些变量的按照逐个删除的方法来测试叫没有用的变量删除这样我就不用这么麻烦在给没有用的变量测试了下面是逐个删除没有用的变量 下面这个是没有删除如何变量的可以正常访问网页的蓝色是变量红色是变量值下面是叫没有用的变量删除掉，如果删除有用的变量就会响应的结果就有变化 实验环境实验靶机metasploitable-linux-2.0.0里面的DVWA 利用过滤字符在页面运行系统命令这个页面是进行ping地址的分析这个页面 这个ping命令是从是从靶机发出来的，ping完然后返回给客户端 这个就发现这个ping和操作系统的ping一样会不会是会不会是服务器自己的主机ping的包返回过来的 比如 ...

任务086：手动漏洞挖掘（二） 这个是我的看的教程的笔记。里面基本都是我自己实验的照片。英语后面括号里的都是英语翻译，我真的英语不好 身份认证常见方式 1.常用弱口令/基于字典密码爆破 2.账号锁定 3.信息收集 手机号 密码错误提示 4.密码嗅探 常用弱口令/基于字典密码爆破就是像网站登陆账号密码了列账号admin密码12345 账号锁定 就是连续密码错误就不在登陆了 信息收集 1.手机号像出来的账号里手机号什么什么的排名像18272xxxx15就号找到这个账号 2.密码错误提示比如我输入一个账号和密码有的说账号或密码错误有的说密码错误 实验环境 靶机metasploitable-linux-2.0.0 比较登陆第一个账号正确密码错误第二个账号密码都错误发现登陆输入账号正确和输入账号错误返回的结果都一样只有时间有的变化metasploitable-linux-2.0.0登陆安全性还是比较好的 用户破解登录如果输正确的账号和错误的账号不同的我们就可以找到账号，就可以密码破解了 如果账号密码都没有破解成功的话我 ...

这个我就演示下载好的树莓派的kali linux镜像我下载的这个下载完成后com进入下载的目录里面，也可以输入完整路径下载完成要解压出来，也可以校验一下是否下载时缺少什么吗 1certutil -hashfile 下载的文件 hash的类型

Kali Linux是基于Debian的Linux发行版 有上千个渗透工具 下载kali官方https://www.kali.org/ 安装kali 这个是用的我2019.2的选择好下载kali的路径然后下一步选择好linux的版本下一步选择好kali虚拟机名这个是就我就叫他kali和他的安装位置默认20g我感觉不够用我就用60g这个是叫内存设置2g和cpu内核2启动选择说实话我英语真的不会这个我就选择中文的这个名字我就叫kali域名不用填的我直接继续设置登陆密码用虚拟机不是物理机这个就不用修改了这个我安装时候没有叫没有叫继续截图下来选择（是）选择继续就开始安装了耐心等待安装这个选择 否这个选择是不然启动不了 有的第一次玩linux可能不知道账号多少账号是root 密码是你刚才设置的密码

Parrot Security 是这个装逼非常好的一个系统哈哈哈就这样说说。闲话不多说开始正式的安装。和kali安装步骤都一样 下载镜像 官方下载这个我用的这个版本 虚拟机安装这个可以叫安装到其他硬盘大的地方 这个我喜欢50g这个cpu是2内存也是2 开始安装 这个我选择的是图像的 我英语不好我就选择中文的了，你们随便这个是登陆密码设置一个普通登陆账号 这个安装是虚拟机如果是物理机可以设置 选择 否 选择 是 现在是安装系统了，要花的时间选择 是选择下面那个安装完的效果