- 博客(25)
- 资源 (7)
- 收藏
- 关注
原创 信息收集一些骚姿势
本文章肯定有很多不足之处,希望各位大佬轻喷。此文章深度不是很够,希望给大家提供一些其他新的思路。渗透测试的本质就是信息收集,做好信息搜集事半功倍。
2024-03-21 13:57:24 769
原创 Python基础速通
不要耗费大量的时间去一点一点的扣细节,应该速度的用起来,在用中去学,因此此篇文章就此诞生,给大家速度的学习一遍 python 的基础,使得快速的去做自己想做的内容。
2024-03-11 23:30:40 415
原创 pikachu——不安全的URL跳转(如何防御,附带源码解析)
不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生"跳错对象"的问题。url跳转比较直接的危害是:–>钓鱼,既攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站。
2023-10-16 08:43:00 230
原创 搭建一个自己的博客网站(typecho开源博客源码)
配置CDN加速(需要购买,花个几十块钱可以用很久),配置SSL证书,在阿里云的控制台都可以直接完成(前提条件是必须是阿里云购买的服务器才行)。
2023-07-29 16:18:42 889
原创 网络基础——OSI七层模型(速通笔记)
低三层模型属于通信子网,涉及为用户间提供透明连接,操作主要以每条链路( hop-by-hop)为基础,在节点间的各条数据链路上进行通信。由网络层来控制各条链路上的通信,但要依赖于其他节点的协调操作。高三层属于资源子网,主要涉及保证信息以正确可理解形式传送。传输层是高三层和低三层之间的接口,它是第一个端到端的层次,保证透明的端到端连接,满足用户的服务质量(QoS)要求,并向高三层提供合适的信息形式。
2023-07-24 22:10:37 152
原创 网络安全基础速通(web方向)
通俗的说,WAF类似于地铁站的安检,对于HTTP请求进⾏快速安全检查,通过解析HTTP数据,在不同的字段分别在特征、规则等维度进⾏判断,判断的结果作为是否拦截的依据从⽽决定是否放⾏。⼀个是通过 sql 语句处理时间的不同来判断是否存在注⼊ (time-based),在这⾥,可以⽤ benchmark,sleep 等造成延时效果的函数,也。EXEC master…mysql⽀持⽤户⾃定义函数,将含有⾃定义函数的dll放⼊特定的⽂件夹,声明引⼊dll中的执⾏函数,使⽤执⾏函数执⾏系统命令。
2023-07-22 20:54:13 85
原创 CVE-2022-37706 Ubuntu本地提权
Ubuntu 22.04.1 X64 Desktop Enlightenment 0.25.3-1 提权。
2023-07-22 20:48:56 275
原创 钓鱼攻击案例分享与总结
每 年 HVV 总有一批日夜坚守的小伙伴们,他们一定还记得 HVV 期间发生的一起起钓鱼攻击案例,总是让人心有余悸。作为 “ HVV 利 剑 ” ,钓鱼邮件攻击已经成了一种常用的手法,它是 一个绝佳的打开内网通道的入口点,邮件可以携带文字、图 片、网址、附件等多种信息媒介,结合社工手段可以对未经训 练的人群进行 “ 降维打击 ” ,而且钓鱼邮件还可以做到很强的 针对性,对于运维部门、企 业高管等较高价值目标还可以做到 精准打击。
2023-07-22 20:32:44 310
原创 一篇学会SQL注入 | 详解SQL注入(基础向,基础到每个参数)
**括号里面的查询被称之为子查询,在执行顺序中子查询先执行,然后再执行外面的 select **2) 的值是确定性的,假随机。
2023-06-14 22:39:36 296
原创 渗透测试之信息收集——windows篇(如何查看iis的版本及其windows-server的版本)
如何查看iis的版本及其windows-server的版本
2023-02-23 12:41:43 922
原创 SQL注入系统学习——(2)环境搭建及简单SQL命令
mysql -uroot -p // 因为数据库密码为空所以敲两下回车就ok了万事开头难,不开头一直难。所以动起来,一起学习。这些都是一些常常能用到的 sql 注入的命令。虽然现在工具很牛逼,但是不可能永远当个脚本小子吧,工具是死的,人是活的。在实战中要灵活运用。诸君共勉。
2022-11-27 20:24:50 667
原创 SQL注入系统学习——(1)预科
SQL注入就是把构造好的SQL语句放入WEB数据中提交给服务器,并返回数据时返回的是构造好的SQL语句的执行内容。最后,我们一起来学习探讨 SQL注入 的问题,一起加油一起学习,欢迎评论留言。有不足的地方多多指正,在下抱拳了。
2022-11-27 18:32:26 476
原创 const 与 define
其实使用define的好处和坏处都很明显:全局都可以使用,核弹级别但是使用const就是需要什么函数在计算后保持原样就使用const进行初始化就可以了,指哪儿打哪儿类型。
2022-11-16 21:17:13 67
转载 C语言中关于float和double的输入输出格式
2.对于double类型和float类型,输出格式均为printf(“%f %f\n”, A, B);1.对于double类型,输入格式为scanf(“%lf %lf”, &A, &B);对于float类型,输入格式为scanf("%f %f, &A, &B);
2022-10-16 19:09:12 11972
原创 sql注入之报错注入
报错注入常用的报错注入就两种:extractvalue , updatexml什么时候使用报错注入呢?当没有一个合适的数据返回点的时候就需要报错注入。注入的时候后端是被注入了的,但是前端没有得到更好的显示。extractvaluepayload: and extractvalue(null,concat(0x7e,(payload),0x7e))对数据库进行 xml 文档的故意报错利用 concat 在后台进行拼接指定第一个参数为 null ,让他故意报错,讲第二个参数种的语句带入
2022-02-28 20:21:06 5377
原创 Sqli-labs less-01
Sqli-labs less-01mysql 基本用法查库:select schema_name from information_schema.schemata;查表:select table_name from information_schema.tables where table_schema='security';
2021-12-12 17:02:29 492
原创 用 for 反转数组
public class ArrayDemo04 { public static void main(String[] args) { int[] arrays = {1,2,3,4,5}; /*//JDK1.5, 没有下标 //取不到下标 for (int i : ar) { System.out.println(i); }*/ printArray(arra
2021-11-12 19:21:50 609
原创 java类型转换
public class demo02 { public static void main(String[] args) { int i = 128; double b = i; //内存溢出 //强制转换 (类型)变量名,高--->底 //自动转换 低---->高 System.out.println(i);// 128 System.out.println(b);// 12
2021-11-06 18:52:57 71
原创 Squid代理
Squid代理在实验室里面有一台空的电脑,装上centos7.5的系统准备搭建个harbor玩玩,结果发现没有网,我又不想用本地源,校园网还需要验证才能登录,所以采用了squid前期准备一台centos7.5系统先要用到本地源一台win10系统必须两张网卡一台交换机centos和win通过交换机连接我在这里用了无线网卡插在win10上,用来连接校园网squid linux版本我自己配置的本地源里面有,所以自己yum -y install squidsquid
2021-10-28 15:02:59 232
转载 Python——Lambda
沉寂了一天,今天来点看着就恐怖的“填空题”,感受lambda与下划线的震撼!# _*_ coding:utf-8 _*_# FileName: Lambda.py# IDE: PyCharm# 菜菜代码,永无BUG! # 在lambda递归(循环)表达式中不能出现input,需要先让递归(循环)初始化再赋值input # 数字累加算法add = (lambda _: sum(map(int, list(_))))(input('请输入一个正整数:'))print('数字累加计算结果是:{
2021-10-02 23:03:45 163
原创 ansible学习持续更新
Ansible环境ansible:192.168.200.233node1:192.168.200.240node2:192.168.200.241node3:192.168.200.242文章目录Ansible环境加速ssh相关文件主机清单模块基于key;用户名这种方式ping现在管理多台主机控制所有主机hosts书写格式Ansible相关工具Ansible-docAnsibleAnsible-galxyAnaisible-pullAnsible-playbookAnsible-vaultAn
2021-07-18 19:58:21 95
原创 先电云平台搭建
奶妈级先电云计算平台搭建(第一次写0.0)1.虚拟网络编辑器2.虚拟机的创建2.1要有两台虚拟机:controller和compute(控制节点和计算节点)3.安装centos(我用的是7.5的镜像)3.1两台虚拟机开启后都选着english,因为在服务器上全是英文,要适应英文环境然后点击右下角的Contineu(controller和compute两台这里是一样的)3.2等software检查完后,在点机INSTALLATION DESTINATION(就是有个黄色感叹号
2021-03-19 19:29:06 6270 18
关于域渗透与免杀对抗思考及其常见方式
2024-03-16
域内最新提权漏洞原理深⼊分析
2022-06-20
你未见过的SSRF利用方式
2022-06-20
网络安全之变形脚本病毒的“照妖镜”--病毒反制
2022-06-13
应急响应指导书-电子版
2022-04-14
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人