![](https://img-blog.csdnimg.cn/20201014180756916.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
小迪安全笔记
文章平均质量分 86
你赖东东不错嘛*
这个作者很懒,什么都没留下…
展开
-
【小迪安全】Day11信息打点-工具篇
资产信息保存路径:/root/ShuiZe_0x727/result/de0b9305e7b5/46bca337.xlsx。打开浏火狐览器,访问https://172.17.0.1:5003/,使用默认用户名密码admin/arlpass登录。在config/config.py中进行修改,调用api查询功能需要从配置文件修改为自已对应的 api信息。pip默认源是国外的网址,下载速度非常慢,将pip的源替换为国内的站点可以解决该问题。生成文件在/OneForAll/results里,用vim编辑器查看。原创 2023-05-07 22:09:42 · 1068 阅读 · 3 评论 -
【小迪安全】Day09信息打点-CDN 绕过篇&漏洞回链&接口探针&全网扫描&反向邮件
通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP查询网站。Win下使用nslookup命令进行查询,若返回域名解析结果为多个ip,多半使用了CDN,是不真实的ip。有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。原创 2023-05-06 15:27:41 · 1695 阅读 · 2 评论 -
【小迪安全】Day08信息打点-系统篇&端口扫描&CDN 服务&负载均衡&WAF 防火墙
。原创 2023-05-05 15:31:24 · 517 阅读 · 0 评论 -
【小迪安全】Day07信息打点-资产泄漏&CMS 识别&Git 监控&SVN&DS_Store&备份
created:>2019-02-12 test #创建时间大于 2019-02-12 的搜索关键字。user:test in:name test #组合搜索,用户名 test 的标题含有 test 的。pushed:>2019-02-12 test #发布时间大于 2019-02-12 的搜索关键字。stars:>3000 test #stars 数量大于 3000 的搜索关键字。forks:>1000 test #forks 数量大于 1000 的搜索关键字。原创 2023-05-05 11:32:00 · 456 阅读 · 0 评论 -
【小迪安全】Day06信息打点-Web 架构篇&域名&语言&中间件&数据库&系统&源码获取
一、TTL是什么TTL(Time To Live,生存时间)是IP协议包中的一个值,当我们使用Ping命令进行网络连通测试或者是测试网速的时候,本地计算机会向目的主机发送数据包,但是有的数据包会因为一些特殊的原因不能正常传送到目的主机,如果没有设置TTL值的话,数据包会一直在网络上面传送,浪费网络资源。数据包在传送的时候至少会经过一个以上的路由器,当数据包经过一个路由器的时候,TTL就会自。CMS 识别,端口扫描,CDN 绕过,源码获取,子域名查询,WAF 识别,负载均衡识别等。windows操作系统。原创 2023-05-03 23:31:10 · 563 阅读 · 0 评论 -
【小迪安全】Day05基础入门-资产架构&端口&应用&CDN&WAF&站库分离&负载均衡
一个网站配置了多个域名,给到目标为bbs.xiaodi8.com 尝试对服务下edu.xiaodi8.com进行安全测试,都属于同一个服务器。方便了管理人员管理数据库,在源码上做了应用安装,但会增加漏洞发风险,方便了攻击者进行攻击数据库的可能。即使安全测试中拿到权限,也很有可能拿到的是备用机权限。服务器安全狗:拿到主机权限后想下一步通过网站权限提权,服务器安全产品开始制止。一个网站,两个程序,任何一个程序出现漏洞,都可以进入安全测试。主机防护:拿到主机权限后,向服务器上传文件,主机防护就会报警。原创 2023-05-03 23:23:18 · 276 阅读 · 0 评论 -
【小迪安全】Day04基础入门-30 余种加密编码进制&Web&数据库&系统&代码&参数值
MD5 值是 32 或 16 位位由数字"0-9"和字母"a-f"所组成的字符串SHA1 这种加密的密文特征跟 MD5 差不多,只不过位数是 40NTLM 这种加密是 Windows 的哈希密码,标准通讯安全协议AES,DES,RC4 这些都是非对称性加密算法,引入密钥,密文特征与 Base64 类似应用场景:各类应用密文,自定义算法,代码分析,CTF 安全比赛等BASE64 值是由数字"0-9"和字母"a-f"所组成的字符串,大小写敏感,结尾通常有符号=URL 编码是由数字"0-9"和字母"a-f"所组成原创 2023-04-28 15:45:55 · 709 阅读 · 0 评论 -
【小迪安全】Day03基础入门-抓包&封包&协议&APP&小程序&PC应用&WEB应用
是一个 http 协议调试代理工具,它能够记录并检查所有你的电脑和互联网之间的 http 通讯,设置断点,查看所有的“进出”Fiddler 的数据(指 cookie,html,js,css 等文件)。所有工具都共享一个请求,并能处理对应的 HTTP 消息、持久性、认证、代理、日志、警报。它支持针对网络层、协议、主机、网络或端口的过滤,并提供 and、or、not 等逻辑语句来帮助你去掉无用的信息。是强大的网络封包编辑器,wpe 可以截取网络上的信息,修改封包数据,是外挂制作的常用工具。2、抓包对象有那些?原创 2023-04-27 23:56:12 · 3017 阅读 · 4 评论 -
【小迪安全】Day02基础入门-Web应用&架构搭建&漏洞&HTTP数据包&代理服务器
移动端和PC端的UA头可以互换。原创 2023-04-21 19:45:00 · 368 阅读 · 0 评论 -
【小迪安全】Day01基础入门-专业名词&文件上传下载及案例
> xiaodi8 防火墙。xiaodi8 防火墙 -> aliyun。内网 -> xiaodi8。——黑客工具:瑞士军刀。原创 2023-04-21 17:24:43 · 418 阅读 · 0 评论