- 博客(51)
- 资源 (4)
- 收藏
- 关注
RSS订阅
原创 使用vbs脚本实现自动化安装GUI程序
目录使用vbs脚本实现自动化安装GUI程序0x00、需求、场景是什么?1、缘由2、需求0x01、方案1、使用脚本精灵、按键精灵2、借助WinSpy++3、使用C++代码操作4、使用VBS脚本0x02、VBS是什么?1、Visual Basic2、Basic语言3、Visual Basic Script0x03、Wscript.shell是什么?0x04、VBS代码(以npcap.exe为例)0x05、自定义模式安装0x06、例子文件目录
2021-08-06 04:33:37
2266
2
原创 【Web漏洞探索】命令注入漏洞
命令注入(又叫操作系统命令注入,也称为shell注入)是指在某种开发需求中,需要引入对系统本地命令的支持来完成某些特定的功能。当未对可控输入的参数进行严格的过滤时,则有可能发生命令注入。攻击者可以使用命令注入来执行系统终端命令,直接接管服务器的控制权限。它允许攻击者在运行应用程序的服务器上执行任意操作系统命令,并且通常会完全破坏应用程序及其所有数据。
2022-09-21 19:42:30
6081
1
原创 【Web漏洞探索】文件上传漏洞
文件上传漏洞(File Upload Vulnerabilities)是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意恶意文件,并能够将这些文件传递给后端服务器的解释器,就可以在远程服务器上执行任意代码、脚本。...
2022-08-11 13:30:00
695
原创 Apache Commons Configuration远程代码执行漏洞(CVE-2022-33980)分析&复现
Apache Commons Configuration是Apache基金会下的一个开源项目组件。它是一个java应用程序的配置管理工具,提供了一种通用的管理方式,可以从properties或者xml文件中加载软件的配置信息,用来构建支撑软件运行的基础环境。让Java开发者可以使用统一的接口读取不同类型的配置文件。...
2022-08-11 00:00:25
3606
原创 【Web漏洞探索】跨站脚本漏洞
跨站脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。跨站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS跨站脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
2022-08-03 08:35:10
3877
原创 【Web漏洞探索】SQL注入漏洞
SQL注入(SQLi)是一种网络安全漏洞,允许攻击者干扰应用程序对其数据库的查询。通过浏览器或者其他客户端将恶意SQL语句插入到网站参数中,而网站应用程序未对其进行过滤,SQL语句带入数据库使恶意SQL语句得以执行可以查看通常无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的内容或行为发生持续变化。在某些情况下,攻击者可以升级SQL注入攻击以破坏底层服务器或其他后端基础架构或执行拒绝服务攻击。...
2022-07-22 21:42:04
1821
1
原创 【Web漏洞探索】外部实体注入漏洞
外部实体注入漏洞XXE(XMLExternalEntityInjection)也就是XML外部实体注入,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。file//和ftp//等协议,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。不允许XML中含有自己定义的DTD。...
2022-07-19 19:46:51
874
原创 【Web漏洞探索】文件包含漏洞
文件包含(File Inclusion)是一些对文件操作的函数未经过有效过滤,运行了恶意传入的非预期的文件路径,导致敏感信息泄露或代码执行。如果文件中存在恶意代码,无论什么样的后缀类型,文件内的恶意代码都会被解析执行,这就导致了文件包含漏洞的产生。随着网站的业务的需求,程序开发人员一般希望代码更加灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞。后端编程人员一般会把
2022-07-12 22:58:38
501
原创 【Web漏洞探索】跨站请求伪造漏洞
跨站请求伪造Cross-site request forgery(也称为CSRF、XSRF)是一种Web安全漏洞,允许攻击者诱导用户执行他们不打算执行的操作。攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。它允许攻击者部分规避同源策略,该策略旨在防止不同网站相互干扰。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为,网站能够确认请求来源于用户的浏览器,却不能验证请求是否源于用户的真实
2022-07-08 22:29:50
2216
原创 【Web漏洞探索】目录遍历漏洞
目录遍历Directory traversal(也称文件路径遍历、目录穿越、路径遍历、路径穿越)是一种允许攻击者在未授权的状态下读取应用服务上任意文件的安全漏洞。这包括应用代码、数据、凭证以及操作系统的敏感文件。在有些情况下,攻击者还可能对服务器里的文件进行任意写入,更改应用数据甚至完全控制服务器。程序系统在实现上没有过滤用户输入的…/之类的目录跳转符,允许攻击者通过提交目录跳转符来遍历服务器上的任意文件。比如:当服务器处理传送过来的image1.jpg文件名后,Web应用程序会自动添加完整的路径,比如
2022-07-01 21:33:15
1434
原创 Spring boot项目mvn命令行启动应用,解决target/demo-1.0-SNAPSHOT.jar中没有主清单属性问题
Spring boot项目mvn命令行启动应用,解决-SNAPSHOT.jar中没有主清单属性问题文章目录Spring boot项目mvn命令行启动应用,解决-SNAPSHOT.jar中没有主清单属性问题一、什么是maven二、使用三、附录一、什么是mavenApache Maven是一个软件项目管理和理解工具。基于项目对象模型(POM)的概念,Maven可以从中心信息块管理项目的构建、报告和文档。软件下载地址:https://maven.apache.org/download.cgi二、使用
2022-03-04 21:56:31
882
原创 有道翻译改造的小工具,仅作学习、研究技术
该工具利用体验中心展示效果进行,仅作为技术学习使用,切勿非法、过度使用。如商用请购买该服务,使用开放API方式进行翻译服务。
2022-02-24 19:13:31
386
原创 Linux Polkit权限提升漏洞复现&分析(CVE-2021-4034)
Linux Polkit权限提升漏洞(CVE-2021-4034)文章目录Linux Polkit权限提升漏洞(CVE-2021-4034)一、什么是Polkit用法:Description:Return:二、Polkit权限提升漏洞漏洞状态:复现截图:漏洞描述:漏洞等级:影响范围:修复建议:安全版本:三、POC四、漏洞分析五、附录一、什么是PolkitPolkit是一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯:控制决策集中在统一的框架之中,决定低优先级进程是否有权访
2022-01-27 00:33:34
799
原创 LOIC安全测试工具
LOIC安全测试工具一、什么是LOIC?LOIC是一款专著于web应用程序的Dos/DDOS攻击工具,它可以用TCP数据包、UDP数据包、HTTP请求于对目标网站进行DDOS/DOS测试,不怀好意的人可能利用LOIC构建僵尸网络。LOIC是一个非常好的DOS/DDOS攻击工具,禁止用于非法用途,使用它你自己承担风险,与本帖无关。软件下载地址:http://sourceforge.net/projects/loic二、LOIC的功能用法界面上的功能比较清晰明显,根据提示的相应字段输入被攻击的信
2022-01-24 20:51:06
12976
2
原创 Linux split文件切分工具的使用
Linux split文件切分工具的使用目录Linux split文件切分工具的使用0x00、背景介绍0x01、split介绍0x02、实际例子解读1.默认情况2.根据文件字节大小拆分3.根据文件行数拆分4.指定文件数目拆分5.指定文件拼接的尾数长度5.添加--verbose参数0x03、合并文件1.Linux下合并文件2.Windows下合并文件0x00、背景介绍日常生活中,我们会遇到大文件,像操作系统镜像、高清电影、超大日志文件等等,即便是
2021-07-02 23:08:22
1254
2
原创 基于golang的爬虫demo,爬取豆瓣点评文章信息(movie、book、music)
基于golang的爬虫demo,爬取豆瓣点评文章信息0x00、背景介绍上篇文章博主已经介绍、分析,以及上传了源代码,
2021-07-02 00:32:48
448
1
原创 基于golang的爬虫demo,爬取微博用户的粉丝和关注者信息
基于golang的爬虫demo,爬取微博用户的粉丝和关注者信息注意:仅供学习交流,任何非法使用与作者无关!目录基于golang的爬虫demo,爬取微博用户的粉丝和关注者信息一、背景与取材二、找规律三、定位HTML的元素四、设计过程五、上代码六、如何获取cookie七、使用效果一、背景与取材现在大多数的爬虫程序都是基于python语言编写的,python具有相对完善的网络库,使用起来通俗易懂,特别适合小白入门。而且实现起来的效果也不错,也是爬虫界的实力担当。
2021-07-01 00:51:59
696
3
原创 windows下无npcap驱动导致golang获取网卡失败问题
window下无npcap驱动导致golang获取网卡失败问题一、起源使用golang语言开发了一个网络安全检测的小工具,其中抓取报文模块使用的是google的gopacket包。开发完成后编译打包成exe可执行文件,本机可以运行,结果一切正常。安装到另一台window10的时候,结果可以运行但是报错结束了。经过debug定位发现获取网络接口的协程不能正常工作。二、查看pcap源码// github.com\google\gopacket\pcap\pcap.go pca.
2021-06-30 07:55:49
1851
8
原创 ERR_UNSAFE_PORT浏览器安全问题无法访问的解决方案
ERR_UNSAFE_PORT浏览器安全问题导致无法访问的解决方案目录ERR_UNSAFE_PORT浏览器安全问题导致无法访问的解决方案一、问题现象二、浏览器自身机制三、解决方法1.Google Chrome浏览器2.Firefox浏览器3.Edge浏览器四、部分非安全端口列表一、问题现象配置好web的https协议的服务器后,使用浏览器访问服务器的时候出现ERR_UNSAFE_PORT无法访问,如下图提示。经过抓取报文分析,并没有抓到访问服务器的报文,定
2021-06-22 23:54:30
37581
15
原创 Linux Ubuntu openssh离线源码安装、升级版本
Linux Ubuntu openssh离线源码安装、升级版本文章目录Linux Ubuntu openssh离线源码安装、升级版本一、设备环境1.操作系统2.现在的openssh版本二、openssh官网下载源码三、安装openssh1.解压源码包2.查看README3.编译源码四、报错异常五、openssh用法一、设备环境1.操作系统Ubuntu 16.04.1root@Lemon:/home/lemon# uname -aLinux Lemon 4.15.0-34-generic #37~
2021-06-17 22:36:13
2420
4
原创 Linux Ubuntu openssl离线源码安装、升级版本
Linux Ubuntu openssl安装、升级版本文章目录Linux Ubuntu openssl安装、升级版本一、设备环境1.操作系统2.现在的openssl版本二、openssl官网下载源码三、安装openssl1.解压源码包2.查看README3.编译源码四、报错异常五、openssl命令六、openssl-3.0.0-alpha17预发布版本安装Building OpenSSLUnix / Linux / macOS一、设备环境1.操作系统Ubuntu 16.04.1root@Lemo
2021-06-17 22:26:23
1642
1
原创 golang利用切片实现栈操作,附例子
记录golang利用切片实现栈操作,附例子如下//init stack as string type slice,send data of string with space splite//return a stack with datafunc InitWithStringSpliteSpace(stack []string, s string) []string { for _, v := range strings.Split(s, " ") { stack = append(sta
2021-03-16 22:54:26
425
原创 golang中goroutine的执行问题记录
golang中goroutine的执行问题记录先上代码func main() { runtime.GOMAXPROCS(1) number := make(chan int, 10) wg := sync.WaitGroup{} wg.Add(10) for i := 0; i < 10; i++ { number <- i } go func() { for i := range number { fmt.Println("i:===>"
2021-03-16 22:45:00
401
原创 [攻防世界]mobile新手练习区easyjava
[攻防世界]mobile新手练习区easyjavaeasyjava最佳Writeup由zer0sun •zer0sun提供难度系数: 7.0题目来源:暂无题目描述:无题目场景:暂无题目附件:附件1反编译后有用的附件内容:MainActivity.classa.classb.classpackage com.a.easyjav...
2020-05-04 01:00:52
606
原创 [攻防世界]mobile新手练习区easy-apk
[攻防世界]mobile新手练习区easy-apkeasy-apk最佳Writeup由129师386旅独立团 •devi1提供难度系数: 7.0题目来源:暂无题目描述:无题目场景:暂无题目附件:附件1反编译后有用的附件内容:MainActivity.classBase64New.classpackage com.testjava.jack....
2020-05-03 11:45:10
848
原创 [攻防世界]crypto新手练习区混合编码
[攻防世界]crypto新手练习区混合编码混合编码最佳Writeup由Viking •ZER0_Nu1L提供难度系数: 2.0题目来源:poxlove3题目描述:经过了前面那么多题目的历练,耐心细致在解题当中是 必不可少的品质,刚巧你们都有,你和小鱼越来越入迷。那么走向了下一个题目,这个题目好长 好长,你知道你们只要细心细致,答案总会被你们做出来的,你们开始慢慢的尝试...
2020-05-03 00:46:30
3294
原创 [攻防世界]crypto新手练习区Morse
[攻防世界]crypto新手练习区MorseMorse最佳Writeup由Um0 •Umo.提供难度系数: 1.0题目来源:poxlove3题目描述:小鱼得意的瞟了你一眼,神神气气的拿走了答对谜语的奖励,你心里暗暗较劲 想着下一个谜题一定要比小鱼更快的解出来。不知不觉你们走到了下一个谜题的地方,这个地方有些奇怪。 上面没什么提示信息,只是刻着一些0和1,感觉有着一些奇怪的规...
2020-05-03 00:25:42
1828
原创 [攻防世界]crypto新手练习区Caesar
[攻防世界]crypto新手练习区CaesarCaesar最佳Writeup由Um0 •Umo.提供难度系数: 1.0题目来源:poxlove3题目描述:你成功的解出了来了灯谜,小鱼一脸的意想不到“没想到你懂得这么多啊!” 你心里面有点小得意,“那可不是,论学习我没你成绩好轮别的我知道的可不比你少,走我们去看看下一个” 你们继续走,看到前面也是热热闹闹的,同样的大红灯笼高高...
2020-05-03 00:07:15
2183
原创 [攻防世界]crypto新手练习区base64
[攻防世界]crypto新手练习区base64base64最佳Writeup由Um0 •Umo.提供难度系数: 1.0题目来源:poxlove3题目描述:元宵节灯谜是一种古老的传统民间观灯猜谜的习俗。 因为谜语能启迪智慧又饶有兴趣,灯谜增添节日气氛,是一项很有趣的活动。 你也很喜欢这个游戏,这不,今年元宵节,心里有个黑客梦的你,约上你青梅竹马的好伙伴小鱼, 来到了cybe...
2020-05-02 23:47:11
1064
原创 安装、使用ssh服务详解
安装、使用ssh服务详解什么是ssh?SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到...
2019-11-10 00:28:38
793
原创 JavaWeb项目图片资源,不能访问(SSM架构)
SSM架构的JavaWeb项目图片资源发现图片名称不能是单独一个数字,否则不能访问到资源其他的任何组合都可以,不知道为什么?Tomcat容器的原因? 还是html或者jsp对静态资源有限制? 是语法问题,还是其他?直接点解链接地址,图片的URI是404,显示找不到资源文件而多个数字为名字的图片资源确是好的,完全可以访问。源码如下静态资源文件...
2019-09-09 00:21:45
817
原创 Windows7开启Telnet服务配置
Windows7开启Telnet服务配置什么是Telnet?Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控...
2019-09-09 00:16:37
310
原创 【golang】go语言 计算菲波那契数列(源码)
计算菲波那契数列的第45个元素值package mainimport ( "fmt" "time")func main() { go spinner(100 * time.Millisecond) const n = 45 Fib := fib(n) fmt.Printf("\rFibonacci(%d) = %d\n", n, Fib)}func spinner...
2019-08-28 15:07:47
129
原创 Eclipse使用Maven ajax+artTemplate+json完成渲染的SpringBoot启动的Demo(HelloApp)
使用ajax+artTemplate完成表格的渲染(HelloApp)对应的css,js文件在这里,点击下载(包含源码压缩包哦)即可,或者自己百度找一下,都是官方通用的pom.xml(依赖的jar包)&lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema...
2019-03-18 15:13:53
299
原创 Ecplise中Maven构建的springboot项目上有个红叉,运行正常启动并不报错
Ecplise中Maven构建的springboot项目上有个红叉,总觉着怪怪的,实际上是IDE的验证问题,项目运行正常启动,并不报错误错误如图所示:修改配置window-->preferences-->Java-->Compiler-->Building-->Build path problem,修改下列两项为Warning,点击应用保存即可。如下图...
2019-03-16 10:39:38
5150
原创 Windows系统Maven下载 环境变量配置 阿里云镜像配置 本地仓库搭建 开发环境搭建一次解决
下载Maven:Mevan的官网选择合适的版本,并保存到常用安装目录http://maven.apache.org/download.cgi解压Maven:解压下载的maven压缩包到软件常用目录。如:D:\Data\Apache\apache-maven-3.6.0环境变量配置:打开系统环境变量对话框,单击“计算机-属性-高级系统设置”,单击“环境变量”。在...
2019-03-15 13:52:52
348
原创 Project facet Java version 1.8 is not supported.报错详细解决
Project facet Java version 1.8 is not supported.报错详细解决把其它的项目导入到自己的eclipse中后,或有个红叉,强行运行就会提示为“Project facet Java version 1.8 not supported”的错误。这是由于java版本不一致造成的,jdk版本不一样。要修改一下便可以了。报错描述导入项目,出现“Pro...
2019-01-22 11:05:14
18592
1
原创 Eclipse中设置作者日期等Java注释模板详解
Eclipse作为一种集成开发环境(Integrated Development Environment),可以通过设置自动添加Javadoc注释信息来进行标识。常用的注释首先来认识几个常用的注解:@author 作者名 @date 日期 @version 版本标识 @parameter 参数及其意义 @return 返回值 @throws 异常类及抛出条件 @deprec...
2019-01-20 12:36:50
650
8种排序算法可视化
2018-10-08
jdk-windows
2018-08-30
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人