墨者-网络安全
文章目录
- 某防火墙默认口令
- 浏览器信息伪造
- HTTP动作练习
- 热点评论刷分漏洞分析溯源
- 投票常见漏洞分析溯源
- 来源页伪造
- IP地址伪造(第1题)
- 服务器返回数据查看
某防火墙默认口令
打开网址看到 天清汉马USG防火墙
用谷歌搜索默认账号密码
系统默认的管理员用户为admin,密码为venus.usg。
系统默认的审计员用户为audit,密码为venus.audit。
系统默认的用户管理员用户为useradmin,密码为venus.user。
通过三个账号依次测试,用户管理员账号密码输入成功后拿到key。
浏览器信息伪造
题目打开页面要求用苹果手机2G查看,同时提到从微信6.0开始,其内嵌的浏览器在User Agent字符串中增加了NetType
我们先搜索一下NetType,发现一篇文章:web浏览器信息伪造
点击文章进行抓包,将测试数据Mozilla/5.0 (iPhone; CPU iPhone OS 8_0 like Mac OS X)AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12A365 MicroMessenger/6.0NetType/2G替换user-agent
HTTP动作练习
这里涉及到知识点:
- get与post区别之一:GET请求在URL中中传送的参数是有长度限制的,而POST没有
热点评论刷分漏洞分析溯源
这个题要求500赞,但是我们只能1赞,也就是我们要不停的换ip
经典利用x-forwarded-for伪造大量ip(intrunder爆破)
攻击结束后,关闭代理即可
投票常见漏洞分析溯源
这个题集中了伪造ip和user-agent
来源页伪造
安全工程师“墨者”在访问一个网页时,提示只能通过另一个页面跳转的方式访问,这该如何办?
referer修改为http:google.com
IP地址伪造(第1题)
先对账号密码进行爆破,得到值
输入进去出现提示:只能在服务器登陆。
了解了环回地址后添上X-Forwarded-for: 127.0.0.1
服务器返回数据查看
浏览器怎么查看服务器返回的数据?
F12 →网络→开始捕获