自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(39)
  • 收藏
  • 关注

原创 三.Linux用户和用户管理

Linux系统是一个多用户多任务的分时操作系统,任何一个要使用资源的都必须向系统管理员申请一个账户,然后通过这个账户的身份进入系统。

2024-11-09 17:12:47 1012

原创 二.Linux文件与目录管理

Linux的目录结构是树状结构,最顶级的目录就是根目录“/”。知道绝对路径和相对路径。

2024-11-06 16:28:22 618

原创 一.Linux文件基本属性

Linux系统是一个多用户系统,不同的用户处于不同的地位,也就是说具有不同的权限。为了安全,对于不同用户访问同一个文件,设置不同权限是很有必要的。

2024-11-03 22:50:29 1209

原创 网络通信——流量与路由(万字解读)

是由一条或多条规则组成的集合。本质上是一种报文过滤器,规则是过滤器的滤芯,通过规则与指定的报文进行匹配,可以过滤特定的报文,并根据ACL的具体动作是允许还是阻止报文。值描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等(1.3)条件工具ACL应用示例1ACL通过匹配报文的信息实现对报文的分类这里的0.0.255.255中,各比特中,检查0,忽略1所以acl只匹配前缀长度,不匹配掩码以OSPF为例,filter-policy生效规则如。

2024-10-12 18:54:58 1424

原创 网络通信——OSPF(进阶)

55类传播范围:整个AS通告路由器:ASBR的RID链路状态:网络号包含内容。

2024-10-10 16:52:34 1811

原创 网络通信——OSPF和RIP的区别(总结)

而OSPF实用于中大型网络,路由器多,里面有很多lsa数据包,可能形成广播风暴,所以引入区域这个概念,减少lsa在整个区域的传播。而OSPF通过Hello包建立邻居关系,在通过dbd,lsu,lsa,lsr数据包建立邻接关系。OSPF是触发更新和增量更新,通过更新链路信息,通过SPF算法计算就有的路由,添加到路由表中。OSPF采用的是链路信息更新,通过SPF算法,没有最大条数限制,适用于中大型网络。RIP是通过触发更新,路由中毒,水平分割,毒性逆转,16跳不可达实现防环机制。RIP是一个距离向量路由协议。

2024-10-05 18:11:20 802

原创 网络通信——OSPF协议(基础篇)

这里基础是因为没有讲解OSPF中的具体算法过程,以及其中很多小细节。后续会更新。

2024-10-01 18:23:09 2002

原创 网络通信——动态路由协议RIP

首先我们要知道分类有哪些,这里主要是RIP和OSPF。IS-IS一般是移动,联通,电信,广电这种供应商使用的。GRP,EIGRP这俩都是思科家的路由协议。距离向量路由协议:RIP,GRP,EIGRP链路状态路由协议:OSPF,IS-IS这里的距离和链路可以这样理解。1.距离矢量路由协议(有大小,有方向(比方说前往北京需要500公里)2.链路状态路由协议(整体大概布局,进行链路分析,筛选出来,比方说,前往北京,我需要知道中国的整个地图,城市怎么分布)

2024-09-30 20:23:00 1459

原创 基础漏洞——SSTI(服务器模板注入)

首先可以通过SSTI(Server-Side Template Injection)从名字可以看出即是服务器端模板注入。有些框架一般都采用MVC的模式。用户的输入先进入Controller控制器,然后根据请求类型和请求的指令发送给对应Model业务模型进行业务逻辑判断,数据库存取,最后把结果返回给View视图层,经过模板渲染展示给用户。MVC架构M:mysqlV:VIEWC:控制器C:控制器——>M:mysql——>V:VIEW。

2024-09-27 23:39:59 1179

原创 2021年的burpsuite安装。

安装burpsuite很简单的。1.要有java环境,也就是jdk,并且jdk版本要与burpsuite要对应。(如果你的bp安装不起,可能是你的jdk版本不对)2.就是按照我都步骤走就行。3.下载完文件之后,全程离线操作说明一下:这里我用的jdk8,可以去官网下载,也可以直接用这个jdk11如果说你在安装的过程中,不小心发现没有破解页面了,可以将.cfg文件删掉,重新按照步骤走就行。提取码: l13b。

2024-09-26 16:35:15 766

原创 网络通信——DHCP

一.DHCP应用场景。

2024-09-25 19:22:49 703

原创 云服务器(华为云)安装java环境。

这个就是华为云网站的jdk资源,你想要哪个版本可以自己选择。

2024-09-24 12:53:42 1658

原创 网络通信——NAT(网络地址转换)

一.NAT是什么1.首先运营商维护的网络时公网的,使用的是公网的IP地址,而私有的IP地址的不能的在公网上路由,为了保证网络互通,所以有了NAT技术。2.NAT一般部署在公网和私网上的网关设备上面。二.为什么会这样因为你只要出到外网就无法识别,公网无法识别私有IP地址,所以必须转换。三.NAT能做什么1.私有地址和公有地址的转换。保证的网络的互通,流畅,节省公网的IP地址。

2024-09-23 15:21:50 779

原创 网络通信——路由器、交换机、集线器(HUB)

5.根据路由表来进行路径选择,选择最佳路径 (路由器它只会选择最佳路径)4.数据转发 (由路由表转发数据)注意:传输层,应用层没有网路设备。二.交换机(数据链路层设备),帧。3.一般接口位4,8,12。2.一个接口就是一个广播域。一.路由器(网络层设备)一.路由器(网络层设备)三.集线器(物理层设备)

2024-09-23 07:00:00 442

原创 网络通信——OSI七层模型和TCP/IP模型

七层模型是一种将网络通信协议划分为七个不同层次的标准化框架。每一层都负责不同的功能,从物理连接到应用程序的处理。这种模型有助于不同的系统之间进行通信时,更好地理解和管理网络通信的过程。

2024-09-22 16:36:57 2090

原创 基础漏洞——SSRF

由于手机屏幕大小的关系,直接浏览网页内容的时候会造成许多不便,因此有些公司提供了转码功能,把网页内容通过相关手段转为适合手机屏幕浏览的样式。1、分享,通过URL地址分享网页内容,通过URL获取目标页标签等内容。1.分享,通过URL地址分享网页内容,通过URL获取目标页标签等内容。2、转码服务,适配手机屏幕大小,通过URL地址进行图片转码。2.转码服务,适配手机屏幕大小,通过URL地址进行图片转码。来进行端口探测,这个的目的:如果探测到你的端口。

2024-09-21 13:07:44 1107

原创 2021的OWASP TOP 10

OWASP(开放Web应用安全项目)是一个非营利性组织,旨在提高软件安全性。每四年一个更新,2025年就会再次更新,到时候这篇文章也会实时更新。我主要从定义,场景,原因,影响,防护措施进行介绍。

2024-09-20 15:59:39 1251

原创 Linux基础命令——账户简单管理

4.会话类型:如果 root 用户通过 su 命令切换到其他用户,原始的 root 会话可能会被隐藏。这里可以通过/etc/shadow文件下看到,stu02用户密码,前面有感叹号,而正常情况下是没有的。1.没有通过终端登录,root 用户可能通过图形界面(如桌面环境)登录。命令:ps aux (显示所有用户的进程信息)命令:ps -p 1 (显示进程 ID 为 1 的进程)命令:ps -u username (显示指定用户的进程)命令:ps ( 显示当前终端的进程)

2024-09-20 11:44:54 1339

原创 Linux基础命令——文件系统的日常管理

命令:ln ./yangyao/a/66666.txt 77777777777.txt。命令:tar -xzvf b.tar.gz。可以查看硬链接文件,而不能查看符号链接。命令:tar -xvf b.tar。输入内容,用ctrl+d保存。命令:whereis gcc。(3.2)使用cat命令。

2024-09-19 19:59:47 948

原创 基础漏洞——任意命令执行漏洞

这种漏洞一般是因为应用系统在设计的时候需要给用户提供指定的远程操作接口,比如说我们的路由器,防火墙,入侵检测等等设备管理界面上。

2024-09-19 08:30:00 1027 3

原创 fastjson漏洞

json格式数据一个件,一个值"key1" : "张三",//键:值"key2" : 大忽悠"也可以嵌套fastjson是将json格式反序列化为对象,还可以将一个对象序列转换为json格式数据。json={"age":20,"student":"name":"stu",age:18//student是子类哈序列化后:"name":"yy","age":20,"isStudent":123,{"student":"name":"stu",age:18,}

2024-09-18 12:30:00 938

原创 kali里面搭建docker容器

注意事项:kali版本,镜像源。

2024-09-18 07:00:00 887

原创 基础漏洞——任意代码执行漏洞

替换过程中会将$aa当作代码执行。

2024-09-17 14:00:00 1865

原创 Fastjson反序列化漏洞——JNDI注入

JNDI注入。

2024-09-17 07:00:00 1909

原创 基础漏洞——任意文件查看与下载漏洞

file_get_contents():直接读取文件内容,输出读取内容。不会在正常页面上显示,会在源码里面显示出来,不被解析,直接呈现出来。readfile():直接读取文件内容,自带输出功能。fread():读取文件,输出文件。代码审计,查找更多可利用的代码。

2024-09-16 14:00:00 493

原创 基础漏洞——文件包含漏洞

程序员对于多次使用的代码或数据,将其封装成一个文件,使用include,require等函数进行包含调用。由于web应用对于用户输入的数据没有进行严格的过滤或没有进行过滤,导致用户输入的数据可以直接接触危险函数include,require等函数,从而使用户或攻击者的文件内容执行,使服务器沦陷。

2024-09-16 07:00:00 1037

原创 5.基础漏洞——文件上传漏洞

1.前端绕过2.MIME类型绕过3.后缀大小写绕过4.00截断攻击5.双写文件后缀绕过。

2024-09-15 16:17:28 1242

原创 基础漏洞——CSRF(跨站请求伪造)漏洞

跨站请求伪造又被为one-clickattack,通常缩写为CSRF或者XSRF是一种挟持用户在当前已经登录的web应用程序上执行非本意的操作的攻击方式。

2024-09-15 08:00:00 319

原创 基础漏洞——SQL注入原理和利用

由于web应用程序对用户输入的数据的合法性没有进行判断或过滤不严,攻击者可以通过在查询语句后面加入额外的SQL语句,以此来实现欺骗数据库执行非授权的操作查询。

2024-09-14 18:15:00 714

原创 基础漏洞——XSS漏洞(跨站脚本攻击)

我是攻击者第一步:我对一个网站测试,发现这个网站有个留言板,我向留言班中输入JS脚本,上传给web服务器,服务器接收到之后,将我的JS脚本保存在数据中。第二步:当一个用户user浏览到我的页面,此时用户user可能不知情情况下发送给脚本给web服务,web服务器返回js脚本。第三步:用户user的web页面解析从web服务器拿到的数据,将我都JS脚本执行,把自己的cookie上传给我。

2024-09-14 13:53:43 388

原创 Shiro框架以及反序列化漏洞

key值(漏洞点就是这个)

2024-09-13 20:56:37 929

原创 HTTP协议——响应码

服务器希望客户端使用另一个URI来访问资源,一般会与响应包中Location字段一起用,返回给客户端,自动重定向到服务器的给的url。500 Internal Server Error(内部服务器错误)301 Moved Permanently(永久移动)304 Not Modified(未修改)客户端需要通过代理服务器来访问所请求的资源。400 Bad Request(错误请求)305 Use Proxy(使用代理)302 Found(已找到)

2024-09-13 14:39:29 1027

原创 JAVA——反序列化漏洞(基础)

/定义了一个类叫User,并且继承Serializable这个类,没有这个类,就无法序列化,java会报错//name属性,默认值lisi//age属性,默认18//构造User成员方法,并且调用name,age属性//name赋值的格式//age赋值的格式//重载:因为类里面已经有了toString这个方法,想要再用,就需要这个,进行重载@Override//重载构造了toString这个方法,类似重新写了这个方法。

2024-09-12 19:29:10 1076

原创 信息安全——HTTP请求/响应详细内容

(DNT),叫君子协议,隐私保护的协议,置1的话,就表示web服务器不会对记录我们浏览记录和关键词,服务器如果遵循这个协议,那就不会给cookie,但这都是看服务器处不处理这个字段,全靠服务器的“自觉”。表示连接状态,当前的事务完成后,是否会关闭网络连接,close就是表示断开,keep-alive表示继续连接。注意:一般都不会去特意记,我一般遇到才记,因为确实太多,一次性记的话,不显示,而且容易忘记,有些也不常见。浏览器优先识别的语言,q代表前一个语言的权重,0

2024-09-12 12:09:15 1033

原创 PHP反序列化漏洞

这篇主要是学习介绍php反序列化漏洞基础。

2024-09-11 19:29:50 1605

原创 信息安全——HTTP协议(超文本传输协议)

这篇主要介绍HTTP协议的概述、建立过程、特点。里面的一些具体详细细内容再另外一篇。

2024-09-11 12:46:26 456

原创 Linux——init的基本使用

关机。命令:init 0。

2024-09-10 23:24:17 2142 1

原创 Linux的系统目录结构和基础目录解释

我是以CentOS7系统来呈现的。目录一.Linux的系统目录结构二.Linux目录介绍(1)bin目录:放着最经常使用的命令 (2)dev目录:Device(设备) 的缩写 ,比如cup、硬盘、光驱、键盘、鼠标等设备以文件形式存储。(3)home目录:用户的主目录,每个用户都有一个自己的目录,该目录名是以用户的账号命名的。比如下图(4)lib目录:Library(库) 的缩写,存放着系统最基本的动态连接共享库,其作用类似于 Windows 里的 DLL 文件。一般存放的文件是/bin目录下程序所需要的库文

2024-09-10 14:47:58 1121

原创 CentOS7永久关闭防火墙和SELinux

查看防火墙的状态命令防火墙开启状态。

2024-09-09 23:19:23 1602 1

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除