- 博客(32)
- 收藏
- 关注
RSS订阅原创 自学渗透测试第19天(ARP欺骗原理与Ettercap实战)
摘要:本文系统介绍了ARP欺骗攻击的原理与Ettercap工具实战应用。首先解析ARP协议工作机制及欺骗原理,包括主机欺骗、网关欺骗等攻击模式及其危害。重点讲解Ettercap工具的使用方法,涵盖ARP欺骗、DNS欺骗、SSL剥离等中间人攻击技术,并提供详细操作流程。同时介绍了防御措施如静态ARP绑定、ARP监控工具等。最后通过实战任务演示了ARP欺骗实施、密码嗅探和防御实践,强调在合法授权范围内进行测试的重要性。全文为网络安全攻防提供了完整的技术参考。
2026-04-19 16:08:21
152
原创 自学渗透测试第18天(Powershell与远程连接)
本文摘要:本章系统介绍了PowerShell渗透测试与Windows远程管理技术,重点讲解了PowerShell基础操作、常用渗透测试框架(PowerSploit、Nishang等)以及无文件攻击方法。详细分析了WinRM、RDP、PsExec、WMI等多种远程连接方式的使用场景和配置方法,并提供了横向移动的技术路线,包括凭证获取、哈希传递、令牌窃取等实战技巧。最后设置了包括PowerShell信息收集、远程连接实践和横向移动模拟在内的达标任务,并给出了常见问题的解决方案。
2026-04-17 18:32:47
681
原创 自学渗透测试第17天(HTTP状态码与Burp爆破功能)
《HTTP状态码与Burp爆破实战指南》摘要(149字) 本文系统讲解了渗透测试中HTTP状态码的应用和Burp Intruder爆破技术。状态码部分重点解析了2xx/3xx的成功响应、4xx的客户端错误(特别是403/404的资源探测)及5xx的服务器漏洞特征。Burp Intruder模块详细剖析了四种攻击模式:Sniper(单点突破)、Battering ram(同步攻击)、Pitchfork(配对爆破)和Cluster bomb(笛卡尔积组合),并给出登录爆破、目录枚举等实战案例。最后强调法律风险,
2026-04-16 21:45:31
624
原创 自学渗透测试第16天(Linux文本处理进阶)
摘要: 本文系统讲解了Linux文本处理工具AWK和SED的高级应用。AWK部分涵盖模式匹配、字段处理(如$1、NF)、统计计算(求和、IP统计)及分隔符控制(-F);SED重点演示替换(s/old/new/g)、删除(d)、插入(i/a)等流编辑操作。实战环节结合渗透测试场景,如分析Nmap端口扫描结果、提取日志错误IP、格式化数据(如转换URL)。最后通过达标任务(如统计SSH失败登录IP、清洗配置文件)巩固技能,并警示常见错误(如SED原地修改风险、AWK字段混淆)。为后续HTTP状态码和BurpSu
2026-04-15 10:22:28
523
原创 XSS渗透与防御
《XSS渗透与防御要点》 本文总结了XSS攻击的核心知识点:HTTP请求方式(GET/POST等)和Cookie特性(明文/可修改)。重点讲解了XSS攻击类型:存储型(脚本驻留服务器)和反射型(单次触发)。攻击手段包括通过JavaScript操作Cookie、脚本注入网页,以及利用DVWA靶场演示不同难度级别的XSS攻击。防御措施包括使用正则表达式过滤、WAF工具拦截、HTML特殊字符转义等。文中还提及XSStrike工具检测漏洞和Python版本配置方法。
2026-04-14 22:58:31
344
原创 sql注入渗透与防御
本文系统介绍了SQL注入渗透技术与防御方法。主要内容包括:SQL注入原理与基础语法回顾,如union查询、orderby猜解列数;手工注入流程(判断注入点、猜解列数、信息收集);高权限注入与文件读写操作;常见注入类型(数字型、字符型、搜索型等);数据提交方式差异(GET/POST/COOKIE);报错盲注、延时注入、布尔盲注等技术细节;WAF绕过方法(大小写、注释符、编码等);sqlmap工具使用(GET/POST注入、获取shell);以及XFF注入等高级技巧。最后强调技术仅用于合法授权测试,使用者需自行
2026-04-14 15:39:24
633
原创 自学渗透测试第15天(基础复习与漏洞原理入门)
本文是渗透测试学习第6章的摘要,重点复盘前两周知识并讲解SQL注入和XSS漏洞原理。内容包含:1)知识体系构建,回顾Linux/Windows基础、网络协议和信息收集技术;2)SQL注入深度解析,包括漏洞成因、分类(数字/字符型、盲注等)、利用手法和防御措施;3)XSS攻击原理,区分反射型、存储型和DOM型XSS的差异及危害;4)实战任务要求完成思维导图、命令盲测和在DVWA环境中验证两种漏洞。强调理解手工注入原理的重要性,并预告次日将学习Linux文本处理工具awk和sed。
2026-04-12 23:13:24
990
2
原创 自学渗透测试(第一阶段工具命令的回温)
Linux工具速查摘要 文本处理 grep:-i忽略大小写,-o只匹配内容,-E正则,-l匹配文件名,-v反向匹配 find:按名称/类型/大小/权限查找,-exec执行命令,-print0处理含空格文件 系统管理 iptables:快速封禁IP(iptables -A INPUT -s IP -j DROP) ps/ss:进程/网络连接查看(ps aux,ss -tulnp) lsof:查看打开文件/端口占用 chmod/chown:权限管理(chmod u+X,chown root:root) 网络工具
2026-04-11 23:40:12
572
原创 自学渗透测试第14天(信息收集进阶与指纹识别)
本文介绍了网络安全信息收集进阶技术,重点涵盖三方面内容:1)网络空间搜索引擎(Shodan、Censys等)的高级使用技巧,包括语法规则和实战案例;2)可视化情报收集工具Maltego的操作方法,通过实体变换实现信息关联分析;3)自动化指纹识别技术,利用Eyewitness、Aquatone等工具快速识别Web资产特征。文章还提供了配套实战任务和常见问题解决方案,强调法律合规使用要求,为后续漏洞攻防阶段奠定信息收集基础。
2026-04-10 14:16:05
634
原创 自学渗透测试第13天(DVWA配置与信息收集命令)
摘要: 本文详细介绍了针对Web应用的深度信息收集技术,包括子域名枚举、目录爆破、参数发现、指纹识别和WAF探测等核心方法。重点讲解了常用工具(如gobuster、dirsearch、sublist3r、whatweb等)的使用场景与命令示例,并以DVWA靶机为例演示实战操作流程。此外,强调了信息整合与攻击面分析的重要性,指导如何结构化记录目标技术栈、开放服务、敏感路径等关键数据,并形成侦察报告。最后总结了常见问题(如WAF干扰、工具优化)及思维误区(忽视子域或备份文件),为后续进阶学习奠定基础。
2026-04-09 17:28:38
719
原创 自学渗透测试第12天(渗透测试流程与DVWA部署)
本文详细介绍了渗透测试执行标准(PTES)的七个阶段流程,包括前期交互、信息收集、威胁建模、漏洞分析、漏洞利用、后渗透攻击和报告编制。同时指导读者在虚拟机环境中部署DVWA漏洞演练平台,配置隔离网络环境,并提供从安装到使用的完整步骤。文章还包含渗透测试方法论(黑盒/白盒/灰盒测试)、DVWA模块结构说明、实战任务演练以及常见问题解决方案,为安全测试人员建立标准化工作流程和实验环境。
2026-04-08 10:20:55
736
原创 自学渗透测试第11天(Linux压缩解压与磁盘管理)
本文介绍了Linux文件操作与靶场部署的关键技能,重点包括:1)文件打包与压缩工具(tar、gzip、zip、7z等)的使用方法及场景应用;2)磁盘空间管理命令(df、du)和分区工具(fdisk)的操作技巧;3)渗透测试实战应用,如数据加密传输、敏感文件定位和日志清理。通过具体命令示例和实战任务,帮助读者掌握文件系统管理、数据收集与安全传输等核心技能,为后续渗透测试工作奠定基础。
2026-04-07 14:05:37
884
原创 自学渗透测试的第十天(HTTP进阶与Burp Suite基础)
本文摘要: 《HTTP进阶与BurpSuite基础》课程主要涵盖三方面内容:1)深入讲解HTTP/HTTPS安全特性,包括Cookie机制、会话管理、同源策略及安全头部配置;2)详细解析BurpSuite核心功能模块(Proxy、Intruder、Repeater等)的使用方法;3)通过DVWA环境实战演练手动漏洞挖掘技术,包括SQL注入测试、身份验证绕过和目录枚举。课程强调建立完整的Web安全测试工作流,并提供了常见问题的解决方案。后续将系统讲解OWASP TOP10漏洞的攻防技术。(148字)
2026-04-06 13:29:07
660
原创 自学渗透测试第九天(linux shell脚本编写)
本文介绍了Linux Shell脚本编写基础及其在渗透测试中的应用。主要内容包括:1)Shell脚本基础语法,如变量定义、参数传递、条件判断和循环控制;2)实战应用场景,包括批量扫描、日志监控、漏洞检测等自动化任务;3)典型任务示例,如系统信息收集、端口检查、子域名解析等;4)常见问题解决方案和调试技巧。通过Shell脚本编写可显著提升渗透测试效率,为后续学习Python等高级语言奠定基础。
2026-04-05 16:48:11
598
原创 自学渗透测试第八天(网络安全法、伦理规范与工具链联动)
核心目标:确立网络安全法律底线,掌握标准渗透测试流程,演练工具链协同工作。法律与道德:必须严格遵守《网络安全法》等法规,渗透测试必须获得书面授权,遵循“授权为先、最小影响、严格保密”等职业准则。练习仅限于合法靶场或自建隔离环境。标准流程(PTES):包含前期交互、信息收集、威胁建模、漏洞分析、漏洞利用、后渗透和报告编制七个阶段。需将前7天所学技能系统融入此框架。工具链实战:演示了对授权目标web.testlab.local的评估流程,包括使用dig、nmap、nikto等工具进行信息收集、端口扫描等。
2026-04-03 17:03:09
714
原创 自学渗透测试第七天(Windows基础与cmd命令)
本文系统介绍了Windows系统基础与渗透测试技术要点。主要内容包括:1) Windows核心架构解析,涵盖文件系统、用户权限、注册表和服务进程管理;2) CMD/PowerShell实用命令集,包含系统信息收集、网络诊断、文件操作和注册表管理等渗透测试必备技能;3) 实战任务指导,如系统画像构建、敏感文件搜索和用户权限提升操作;4) 常见问题解决方案,包括权限提升、命令语法差异和安全特性绕过技巧。该内容旨在为安全测试人员提供Windows环境下的技术参考,同时强调需在合法授权范围内谨慎操作。
2026-04-02 21:48:37
673
原创 Linux相关操作命令
本文摘要: Linux操作系统基础命令指南,涵盖系统目录结构、文件操作、用户管理、网络配置等核心内容。主要包括:1)常用目录功能说明(/bin、/boot、/dev等);2)文件操作命令(cp、find、mv等)及压缩解压方法;3)用户与权限管理(useradd、chmod等);4)网络配置与管理(ifconfig、telnet等);5)系统状态监控(top、free等);6)编辑器使用(Vim、Nano操作技巧);7)软件安装方式(yum、apt等)。同时提供实用快捷键和重定向技巧,是Linux系统管理的
2026-04-01 21:47:02
368
原创 自学渗透测试第六天(Wireshark进阶与网络扫描)
本文摘要: 本课程涵盖Wireshark高级应用与Nmap网络扫描技术。Wireshark部分重点讲解高级显示过滤器(协议字段组合过滤)、统计功能(端点/会话分析、IO图表)以及数据包着色与文件导出技巧。Nmap模块系统介绍主机发现、端口扫描(SYN/UDP等)、服务版本探测、操作系统识别等核心技术,并深入讲解NSE脚本引擎的使用方法。课程包含实战任务:通过Wireshark分析Nmap扫描特征、提取HTTP传输文件;使用Nmap进行综合扫描并编写侦察报告。最后针对常见问题提供解决方案,为后续Web渗透测试
2026-04-01 16:58:12
581
原创 PHP从基础到实战
本文全面介绍了PHP从基础到实战的学习路径。内容包括:1)PHP环境搭建与基础语法;2)流程控制、数组、函数等核心语法;3)表单交互、文件操作、会话控制等关键技术;4)MySQL数据库操作与防注入;5)学生信息管理系统实战项目。教程采用循序渐进的方式,通过大量代码示例讲解知识点,适合零基础学习者系统掌握PHP开发技能,最终达到独立开发小型网站和管理系统的水平。
2026-03-31 14:33:43
375
原创 自学渗透测试第五天(HTTP/HTTPS协议与Wireshark抓包)
本文摘要:本文系统讲解了HTTP/HTTPS协议原理及Wireshark抓包技术。首先详细解析了HTTP协议的无状态特性、请求/响应结构、方法类型、状态码和头部字段;接着阐述了HTTPS的SSL/TLS加密机制,包括握手过程和密钥交换;然后介绍了Wireshark的基本操作、过滤技巧及HTTPS流量解密方法;最后通过实战任务演示了协议分析和抓包技巧。文章还提供了常见问题解决方案,如GET/POST区别、Cookie/Session机制等,为网络协议分析和安全检测提供了实用指导。
2026-03-31 10:35:01
567
原创 自学渗透测试第四天(TCP/IP模型与网络命令)
本文摘要:本章系统讲解TCP/IP网络模型及实用命令,重点包括:1)解析TCP/IP四层模型及核心协议(ARP、IP、TCP/UDP等);2)掌握ifconfig/ip、ping、traceroute等网络诊断命令;3)学习netdiscover、arp-scan等主机发现技术;4)通过实战任务训练网络探测能力,包括存活主机扫描、端口服务识别等。内容涵盖从理论模型到渗透测试实践,为后续Web安全学习奠定网络基础。所有技术操作均需合法授权,强调网络安全合规性。
2026-03-30 16:36:46
677
原创 HTML基础+CSS基础
本文详细介绍了HTML+CSS的基础知识与实战应用。主要内容包括:1)文件目录结构规划,强调标准化命名规范;2)HTML核心语法与常用标签(文本、链接、图片、列表、表格、表单等);3)CSS基础语法、三种引入方式及常用样式属性;4)实战案例展示完整页面开发流程。文档采用结构化组织方式,注重语义化标签使用和样式分离原则,提供移动端适配方案和常见问题解决方案,为后续JavaScript和后端开发奠定基础。所有代码示例可直接运行,适合零基础学习者系统掌握静态页面开发技能。
2026-03-30 08:39:55
351
原创 JavaScript基础+前端Jquery框架
本文系统梳理了JavaScript基础与jQuery框架的核心知识点。JavaScript部分涵盖基础语法、变量、数据类型、运算符、流程控制、数组、函数、DOM操作、事件处理等核心内容,重点讲解了变量声明、数据类型检测、数组方法、DOM元素获取与操作等实用技巧。jQuery部分详细介绍了选择器使用、DOM操作、事件绑定、动画效果以及AJAX请求等高效开发方法,突出其"write less, do more"的设计理念。文章还对比了原生JavaScript与jQuery的语法差异,并提供了
2026-03-29 18:19:41
431
原创 自学渗透测试第三天(Linux权限与进程管理)
本文摘要: 《Linux权限与进程管理》课程聚焦权限体系与进程控制技术,涵盖三大核心模块: 权限体系:详解文件权限(rwx)、所有权(chmod/chown)、特殊权限位(SUID/SGID提权)及用户切换(sudo/su); 进程管理:掌握进程查看(ps/top)、控制(kill/pkill)、网络分析(netstat/ss/lsof)及后台持久化(nohup); 实战任务:包括SUID文件提权、sudo滥用检测、可疑进程排查及反向Shell建立。课程强调通过find、sudo -l等命令挖掘配置漏洞,结
2026-03-28 15:13:28
685
原创 自学渗透测试第二天(Linux文件与文本处理命令)
《Linux文件与文本处理命令在渗透测试中的实战应用》摘要:本文详细介绍了Linux常用文件处理命令(cat/head/tail/less/grep/find/xargs)在渗透测试中的高级应用技巧,包括日志分析、信息收集、提权准备等场景。重点讲解了正则表达式匹配、文件实时监控、SUID文件查找等核心技能,并提供了多个实战案例:如提取Web日志攻击IP、检测SQL注入特征、分析SSH暴力破解等。文章还包含命令组合技巧、性能优化方案及常见问题解决方法,为中级渗透工程师提供了系统的文件处理能力提升指南。
2026-03-27 08:05:02
580
原创 mysql数据库从基础到精通
本文系统介绍了MySQL数据库基础操作,重点针对独立学习环境设计。内容包含:1)文件夹规划建议,建立sql-script、note-backup、practice-record三个子目录;2)MySQL核心概念与优势,详解数据类型、表结构设计及约束条件;3)数据库管理操作,包括创建、查看、切换和删除;4)数据表管理及增删改查(DML)语句详解;5)独立学习规范与安全注意事项,强调命名规则、语句执行规范和数据安全。文档提供可直接运行的SQL脚本示例,适合零基础用户通过独立文件夹完成全套MySQL实操练习。
2026-03-26 12:02:36
611
原创 python从基础到精通
Python零基础学习路线摘要: 本文详细介绍了Python从入门到实战的完整学习路径,共分9个阶段: 基础语法:环境搭建、变量类型、运算符、输入输出 流程控制:条件语句、循环语句(for/while) 数据结构:字符串、列表、字典、元组、集合 函数编程:定义调用、参数传递、作用域、装饰器 文件异常:文件读写、OS模块、异常捕获处理 模块管理:模块导入、包管理、常用标准库 面向对象:类与对象、封装继承多态 高级特性:推导式、生成器、多线程 实战应用:爬虫基础、数据库操作 每个阶段包含核心概念讲解、代码示例和
2026-03-25 10:31:21
517
原创 计算机网络基础
本文系统阐述了计算机网络基础与渗透测试技术体系,重点解析了冯·诺依曼架构对渗透攻击的底层支撑原理,详细拆解了计算机硬件(CPU/内存/硬盘/网卡)与渗透操作的关联性,以及Windows/Linux系统的渗透特性差异。深入讲解了TCP/IP四层模型中各层协议的渗透利用方法,包括HTTP/HTTPS、SSH、FTP等协议的漏洞特征与实操命令。同时强调了渗透测试的法律边界,要求必须在授权环境下练习,禁止对公网设备进行非法操作。内容涵盖信息收集、漏洞探测、权限提升等完整渗透链路,为Web安全工程师提供全面的技术参考
2026-03-24 15:19:16
408
原创 VMware卸载重装以后打开时显示DevicePowerOn无法开启,且VMware重装也无法解决。
废话不多说直接上链接,开个玩笑。上方法!!!当我遇到这个问题的时候,我也是和大多数人技术人一样从“小红书”、“B站”、“csdn”等平台上找解决办法,找到的方法多种多样,对于目前只使用一至二台虚拟机的人来说确实是有用的。例如:无法打开内核设备:系统找不到指定文件。你想要在安装VMwareWorkstation前重启吗?打开模块DevicePowerOn电源失败。当出现这个错误提示的时喉,不要慌张,也不用卸载重装,只需以下儿步即可解决问题。用记事本打开你的虚拟机所在目录下的.vmx文件。
2026-01-28 11:54:51
870
空空如也
windows11安全绕过
2026-03-24
TA创建的收藏夹 TA关注的收藏夹
TA关注的人