1 Jim_vegetable

尚未进行身份认证

我要认证

暂无相关简介

等级
TA的排名 28w+

xss challenge accepted 1-10关解析

愉快的旅程即将开始!!!快上车!!!第一关发现页面没有输入框,但发现可以更改url它已经告诉我们这一关 It's easy,那我们就用最简单的Poc试一下<script>alert(/vegetable/)</script>那么这一关就通过了,果然是 easy 的第二关先用刚才的代码试一试,发现不行看一下网页源码,发现是 < 和 " 没有闭合,那么怎么办呢?答案也很简单,闭合就好了"><script>

2020-07-23 02:10:43

sqli-labs-master 1-10关解析

lesson 1判断是否存在sql注入漏洞先在原url后加?id=1,发现页面有回显后,将id=1改为id=2发现同样有回显且回显页面不同在?id=2后加一个单引号,页面报错,可初步推断有sql注入漏洞报错内容分析判断为字符型注入,并且给id值+1/-1页面有回显,先考虑使用联合查询方式进行注入判断表的列数(使用联合查询时,两张表的列数必须相同)order by,不断尝试得出正确的列数(错误值页面有下图所示报错,正确值页面回显正常)原理解析联合

2020-07-20 23:10:22

BurpSuite--Proxy详解

BurpSuite--Proxy目录代理设置浏览器代理设置FoxyProxy插件使用Burp Proxy基本使用方法InterceptHTTP historyWebSockets history案例:使用Proxy截包改包代理设置Burp Suite用代理模式拦截通过代理的网络流量,主要拦截HTTP和HTTPS的流量,拦截时,Burp Suite以中间人方式对客户端请求数据、服务端返回做各种处理,以达到安全评估测试的目的。所以我们就需要对Web浏览器进行代理设置

2020-07-16 14:58:48

注入工具--SQLMap

SQLMap请参考连接文章了解并学习手动SQL注入2020年了,还要学习SQL注入吗?手动检测一个URL还比较简单,但是要是面对一堆URL呢?就像一大波僵尸来袭,一个豌豆射手恐怕不行了,为了不让僵尸吃掉你的脑子,我们得升级,先把豌豆射手升级成机枪射手试试SQL注入工具的出现恰如雪中送炭,目前这类工具受欢迎的很多,但SQLMap却在其中总能排第一SQLMap是一个开放源码的自动化渗透测试工具,可以自动检测和利用SQL注入漏洞,是我们的一大帮手,如果URL中存在注入漏洞,它就可以从数据库中提

2020-07-09 15:24:27

2020年了,还要学习SQL注入吗?

本文是学习SQL注入的笔记和部分总结,详细的写了我认为重要的一些东西目录SQL注入漏洞基础我们为什么要了解SQL注入漏洞SQL注入原理注入过程注入方法数字型注入字符型注入MySQL数据库的使用MySQL的常用语句元数据库常用函数注入手法联合查询案例:利用联合查询获取用户名和密码报错注入布尔盲注延时注入SQL注入漏洞基础我们为什么要了解SQL注入漏洞SQL注入漏洞(SQL Injection)是很高危的漏洞之一,通过OWASP

2020-07-08 01:30:49

网络基础大杂烩,第二锅(学习笔记)

甲、网络层本文主要说明基本概念和网络层提供的两种服务,即虚电路服务和数据报服务网络协议部分有详细说明,请参考wireshark抓包分析IP数据报首部子、概述网络层是处理端到端数据传输的最底层随着社会的进步,科技的发展,人们对网络的需求在不断的增长。人们将两个或者更多计算机网络连接起来,构成互联网,而不再满足于单一的网络环境。随着多个计算机网络的互连,用户也能够更加有效的实现资源共享,网络的可靠性也在不断提高。实现网络互联就缺少不了中间设备,根据中间设备的层次分,有以下4种中间设备

2020-07-06 22:05:59

网络基础大杂烩,第一锅(学习笔记)

甲、计算机网络子、定义计算机网络是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统丑、组成计算机网络可以按事物所具有的不同性质特点分类,是由多台计算机(或其它计算机网络设备)通过传输介质和软件物理(或逻辑)连接在一起组成的计算机网络的组成基本上包括:计算机、网络操作系统、传输介质、应用软件四部分寅、功能数据通信(主要功能):数据信息通信(通信中传递的信息均以

2020-07-06 20:25:55

IIS解析漏洞

目录one什么是IIS?中间件Web服务器twoIIS的初体验启动IIS服务IIS提高安全性的配置网站搭建threeISS漏洞利用WebDAV漏洞IIS文件解析漏洞IIS目录解析漏洞one什么是IIS?Internet Information Services(互联网信息服务),由微软公司提供的基于运行Microsoft Windows的互联网基本服务中间件是介于应用系统和系统软件之间的一类软件,它使用系统软件所提供的基础服务(功能

2020-07-05 22:50:09

收集信息--搜索引擎(Google Hacking、Shodan、ZoomEye)

互联网给我们的生活提供了诸多便利,我们遇到问题时在搜索框中写入“问题”,伴随着Enter键的按下,答案也就蜂拥而至,每个人都会用,但每个人用的方式却不同如果我们能比别人更快更准确的找到想要的信息,或许就能比其他人多一点优势目录oneGoogle Hackingtwoshodan浏览器threeZoomEye浏览器oneGoogle HackingGoogle Hacking的本意是指利用Google搜索引擎搜索信息来进行入侵的技术和行为,现指利用各种搜索引擎搜索信

2020-07-01 22:10:25

信息收集--Nmap

oneNmap(Network Mapper)被称作“扫描之王”基本功能:探测主机是否在线;扫描主机端口,嗅探所提供的网络服务;推断主机的操作系统Nmap的下载安装十分简单,可以去官网下载,按照提示即可安装,我选择安装在Windows上。需要注意的是,如果想要用CMD命令打开Nmap的话,就必须进行环境变量的配置(任何程序用CMD打开都需配置环境变量)环境变量的配置鼠标右键单击“我的电脑”->属性->高级系统设置->高级->环境变量->Path->编辑

2020-06-30 21:21:41

一起聊聊HTTP?

one我们该如何发起一个HTTP请求?在浏览器的地址栏中输入一个URL(统一资源定位符),再按下Enter键,我们就发起了一个HTTP请求,并且可以得到返回结果在Linux中,我们可以使用系统中的curl命令发起HTTP请求,同样可以返回页面的HTML数据HTTP协议HTTP(Hyper Text Transfer Protocol)即超文本传输协议,它是一个简单的请求-响应协议,基于C/S架构进行通信HTTP基于客户/服务器模式,且面向连接。它是一种无状态协议,即服务器不保

2020-06-29 20:31:39

C++学习笔记--数组和指针

学习笔记内容参考自https://www.runoob.com/cplusplus/cpp-tutorial.html1、数组访问数组元素数组可以存储一个固定大小的相同类型元素的顺序集合,数组的索引从0开始下面的示例用了 setw() 函数来格式化输出#include <iostream>using namespace std; #include <iomanip>using std::setw; int main (){ int n[ 5

2020-06-29 16:13:13

C++学习笔记--循环和判断

学习笔记内容参考自https://www.runoob.com/cplusplus/cpp-tutorial.html目录while循环for循环do···while循环死循环嵌套循环循环控制语句循环之前写过的代码都是一条语句执行完,再执行下一条语句,按顺序进行,但我们在工作中往往需要让某一条语句在特定条件下执行多次,于是,循环结构为我们提供了可能while循环当给定条件为真时,重复语句或语句组。它会在执行循环主体之前测试条件。#include <io

2020-06-29 12:11:52

跟着菜鸟教程学习C++

写在前面:作为一名优秀的大学生,临考试前肯定是要复习(预习)这门课程的,我决定跟着菜鸟教程学习C++,争取用最短的时间获得最高的效益,一门编程课程的学习,自然就是原理的理解和代码的编写。跟着菜鸟教程过一遍,总结一下学习笔记,期末考试应该是问题不大的。所以,就这样稀里糊涂的开始吧...

2020-06-27 19:36:59

wireshark抓包分析UDP

1、什么是UDP?传输层有两个协议,之前讨论过的TCP协议和现在要说的UDP协议。二者互为补充,UDP是无连接的协议,它无需经过繁琐的握手就能建立连接并且发送已封装的IP数据包,它能做的事情很少。而面向连接的TCP协议几乎可以做所有事情。特点:UDP最大的三个特点是无连接、不可靠、快速传输UDP提供了无连接通信,且不对传送数据包进行可靠性保证,适合于一次传输少量数据,UDP传输的可靠性由应用层负责。常用的UDP端口号有:53(DNS)、69(TFTP)、161(SNMP)UDP报文没有可

2020-06-27 12:10:53

wireshark抓包分析TCP数据包

1、直接从TCP的三次握手开始说起三次握手就是客户与服务器建立连接的过程客户向服务器发送SYN(SEQ=x)报文,然后就会进入SYN_SEND状态 服务器收到SYN报文之后,回应一个SYN(SEQ=y)ACK(ACK=x+1)报文,然后就会进入SYN_RECV状态 客户收到服务器的SYN报文,回应一个ACK(ACK=y+1)报文,然后就会进入Established状态图片来自百度百科举例时间到!我们把客户端比作男生,服务器比作女生第一次握手就像是男生对女生的告白:我喜欢你我们在一起吧。

2020-06-24 18:23:18

Qt/C++管理系统

简单谈谈我是怎么被逼的学习QT框架的,C++要做大作业,而这学期又比较特殊(至今未开学),说是小组作业,但小组里并没有人想要做的意思,没办法,只能自己从零开始,一边跟着学,一边做,但无奈的是离交作业的时间很近了,所以,管理系统该有的增删改查,只保留了增加和查找。医疗管理系统,增加病患(AddPatient)1、AddPatient.ui很简单的一个ui,姓名、身份证号这些字用的是label标签,后面需要输入的则是line Edit标签,男女的选择用的是Radio Button标签,确定和取消

2020-06-24 09:45:02

SYN Flood攻击

1、攻击原理SYN Flood是拒绝服务攻击的一种,所谓拒绝服务攻击,即想办法让目标机器停止提供服务这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式如果一个计算机系统崩溃或其带宽耗尽或其硬盘被填满,导致其不能提供正常的服务,就构成拒绝服务TCP的三次握手由客户端向服务器发送一个包含SYN标志的数据包,表明请求与服务器进行通信,此时同服务器建立了第一次握手 服务器会返回一个SYN+ACK的报文,表示客户端的请求被接受,此时同

2020-06-23 23:07:13

用Kali进行ARP断网攻击

1、ARP断网攻击原理通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断用户电脑在中了断网攻击之后,计算机不能正常上网,出现网络中断的症状2、ARP攻击同一局域网下攻击者:Kali Linux IP:192.168.220.136被攻击者:Windows XP IP:192.168.220.1421)查看两虚拟机IP地址,...

2020-06-23 18:08:28

wireshark抓包分析IP数据报

本文将会展示IP数据报格式,并利用wireshark抓包,然后加以分析话不多说,直接上图wireshark抓包分析版本:占4位,Version 4(IPv4),指IP协议的版本首部:占4位,可表示最大十进制数是15(1111),所以首部长度最大为60字节区分服务:占8位,只有在使用区分服务时,这个字段才起作用总长度:占16位,总长度指首部和数据之和的长度,单位为字节,数据报的最大长度为2^16-1=65535字节标识:占16位,IP软件在存储器中维持一个计数器,每产生一个

2020-06-23 15:26:21
勋章 我的勋章
  • 签到达人
    签到达人
    累计签到获取,不积跬步,无以至千里,继续坚持!
  • 新人勋章
    新人勋章
    用户发布第一条blink获赞超过3个即可获得
  • 阅读者勋章Lv2
    阅读者勋章Lv2
    授予在CSDN APP累计阅读博文达到7天的你,是你的坚持与努力,使你超越了昨天的自己。
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv3
    勤写标兵Lv3
    授予每个自然周发布7篇到8篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。