- 博客(15)
- 收藏
- 关注
RSS订阅原创 爆破字典工具
(也称为字典攻击工具)是一种用于尝试通过大量预定义的密码组合来破解密码的工具。它支持多种攻击模式,包括字典攻击、组合攻击、掩码攻击等。- 简介: Hydra 是一款网络登录破解工具,支持多种协议(如FTP、SSH、RDP、HTTP等)。- 简介: Medusa 是另一款网络登录破解工具,类似于Hydra,支持多种协议和并行攻击。- 支持多种哈希算法(MD5、SHA-1、bcrypt等)。- 支持多种哈希类型(MD5、SHA-256、NTLM等)。- 支持多种攻击模式(字典攻击、暴力破解、掩码攻击等)。
2025-03-04 15:44:53
589
原创 蓝桥杯网络安全备考
掌握Python(用于编写脚本)、C/C++(用于逆向和PWN)、PHP(用于Web安全)。- 学习OWASP Top 10漏洞(如SQL注入、XSS、CSRF、文件上传漏洞等)。- 学习对称加密、非对称加密、哈希算法、常见编码(Base64、Hex等)。- 熟悉TCP/IP协议、HTTP/HTTPS协议、DNS、ARP等。- 杂项(Misc):综合类题目,可能涉及编码、隐写、协议分析等。- Web安全:SQL注入、XSS、CSRF、文件上传漏洞等。- 重点关注Web安全、逆向工程、密码学等高频考点。
2025-03-03 07:48:33
1252
原创 max hackbar
用途:用于快速测试 Web 应用程序的安全性,支持 GET/POST 请求修改、编码/解码、SQL 注入测试等。max hackbar功能和hackbar相似,并且不用破解。可以说的上是hackbar的平替。支持浏览器:Firefox 和 Chrome。
2025-03-02 22:53:38
165
原创 HackBar工具
HackBar 是一款常用于网络安全测试和渗透测试的浏览器扩展工具,主要用于简化对Web应用程序的安全测试过程。它通常集成在浏览器中,提供一系列功能,帮助安全研究人员和渗透测试人员快速进行常见的Web攻击测试,如SQL注入、XSS(跨站脚本攻击)、CSRF(跨站请求伪造)等。- 提供常见的SQL注入语句模板,帮助快速测试SQL注入漏洞。- 提供常见的XSS测试Payload,方便测试跨站脚本。- 对URL进行编码或解码,方便测试特殊字符的输入。- 快速切换请求方法,方便测试不同请求方式下的漏洞。
2025-03-02 20:07:07
366
原创 简单理解content_detail.php?id=1可能存在的漏洞
恶意请求:`content_detail.php?- 如果服务器端未验证用户是否有权访问`id`对应的资源,攻击者可能通过修改`id`访问未授权的内容。- 如果服务器端代码使用`id`参数动态包含文件,攻击者可以通过构造恶意输入来包含任意文件。- 如果用户只能访问`id=1`的内容,但服务器未验证权限,攻击者可以访问其他内容。- 如果用户只能访问`id=1`的内容,但服务器未验证权限,攻击者可以访问其他内容。- 如果服务器端未验证用户权限,攻击者可能通过修改`id`参数访问未授权的内容。
2025-03-02 14:49:36
769
原创 SQL漏洞
如果数据库是SQL Server,攻击者可以通过DNS日志获取username。- 适用场景:SQL Server、PostgreSQL等支持堆叠查询的数据库。- 如果数据库是SQL Server,错误信息会返回数据库版本。- 原理:用户输入的数据被存储到数据库中,后续查询时触发注入。- 原理:通过故意触发数据库错误,从错误信息中提取数据。- 原理:通过DNS请求、HTTP请求等方式将数据外带。- 原理:通过分号(;- 适用场景:数据库配置未隐藏错误信息时。- 适用场景:无法通过常规方式提取数据时。
2025-03-01 19:54:24
1098
原创 简单认识SQL漏洞
SELECT * FROM users WHERE username = 'admin' --' AND password = '随便输入';- 漏洞原因:网站没有对用户输入的内容进行严格检查,直接把用户输入的内容拼接到SQL查询语句中。- 攻击方式:攻击者通过输入特殊字符或代码,改变原本的SQL查询逻辑。- 数据篡改:修改数据库中的数据(如修改商品价格)。- 数据泄露:获取用户的敏感信息(如密码、邮箱)。--是SQL的注释符,后面的内容被忽略。- 数据删除:删除数据库中的重要数据。
2025-03-01 19:41:45
224
转载 burpsuite爆破方法 buu BRUTE
随机输入一个用户名admin,和密码1234(密码已知为4位数)点击右上角start attack。
2025-02-28 22:31:24
78
原创 buu lfi course 11解题思路
攻击者可以通过构造恶意输入,包含服务器上的敏感文件(如`/etc/passwd`、配置文件、源代码等)。- LFI漏洞通常出现在Web应用程序动态包含文件时,未对用户输入进行严格过滤。- 这是参数的值,表示尝试加载服务器上的 /flag`文件。- file是参数名,通常用于指定要包含或加载的文件。- 通过LFI漏洞读取服务器上的flag文件。在题目URL输入/?file=/flag。表示URL参数的开头。
2025-02-28 16:50:17
144
原创 正确下载JDK和配置Java环境
变量值:JDK 安装路径(例如:`C:\Program Files\Eclipse Adoptium\jdk-21.0.1.12-hotspot)。在系统变量 列表中找到 Path → 点击编辑→ 新建。右键点击 开始菜单→ 系统→ 高级系统设置 → 环境变量。- 按 `Win + R`,输入 cmd,回车。- 在 Adoptium 页面,选择:.exe。- 在 系统变量区域,点击 新建。- 变量名:JAVA_HOME。1. 设置 `JAVA_HOME`- 点击确定保存所有窗口。
2025-02-28 15:48:51
428
原创 简单学习ssrf
假设有一个Web应用,提供了一个功能:用户可以通过输入一个URL,让服务器从该URL获取数据并显示在页面上。例如,用户可以输入一个图片URL,服务器会下载图片并显示在页面上。服务器接收到请求后,尝试从`http://127.0.0.1:8080/admin`获取数据。攻击者注意到应用提供了一个URL输入框,用户可以输入一个URL,服务器会尝试访问该URL并返回内容。- 服务器配置文件(如`/etc/passwd`,如果服务器支持`file://`协议)。这个URL指向服务器本地的管理接口。
2025-02-28 15:33:34
398
原创 如何成功配置edge使用burpsuite
点击add 增加127.0.0.1 端口为8080。打开Win11设置 搜索证书 点击管理证书。启动burp suite开始拦截。第一步配置burp suite。文件名任意取 后缀为.cer。下载插件foxyproxy。输入刚刚下载证书的路径。
2025-02-27 15:02:25
703
原创 用phpstudy搭建的dvwa出现404报错可能的原因
文件名需要将config.inc.php.dist改成 config.inc.php.dist。打开后就会显示.dist。点击文件并右键点击一次选择重命名。没有显示后缀.dist。此时需要将文件扩展名打开。
2024-09-26 16:18:07
1061
原创 利用kali简单制作一个钓鱼网站(简单方法,记录学习过程)
选择要克隆的网站,这里我们可以看到百度的网址为http://www.baidu.com,输入这个网址。第一步上升管理者权限(这一步不会和显示密码错误可以看我的第一篇文章)如果是第一次setoolkits会出现这个,这时输入y。然后会跳出ip地址(-,-,-,-),点enter键。在这里输入刚刚的IP地址,一个简单钓鱼网站就做好了。第三步即可使用setoolkit了,输入1。第二步,输入setoolkits。
2024-09-20 17:30:42
1163
原创 kali才下载好,不能使用seroolkit,必须升级管理员权限(初学,记录学习过程)
输入su,再输入密码显示错误,需要先输入sudo passwd root(初始密码默认为kali)设好密码后再输入su root。输入,上次输入的密码,一般怕忘记,所以都和初始密码设置一样为kali。输入seroolkit没有出现工具,这时需要上升管理员权限。
2024-09-19 13:48:02
328
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人