- 博客(1422)
- 收藏
- 关注
原创 ctfshow misc入门wp
图片篇(基础操作)misc1misc2misc3misc4图片篇(信息附加)misc5misc6misc7misc8misc9misc10misc11misc12misc13misc14misc15misc16misc17misc18misc19misc20misc21misc22misc23misc41图片篇(文件结构)misc24misc25misc26misc27misc28misc29misc30misc31misc32。
2024-05-24 17:02:04 111
原创 CTF 总结02:preg_match()绕过
链接在此:[PHP: preg_match - Manual](https://www.php.net/manual/zh/function.preg-作为匹配检查的大函数,可以带五个小参数:pattern、subject、matches、flags、offset,其中前两个:pattern、subject是必须要填写的后三个不填写的话会有自动的默认值需要被检查的字符串(通常就是我们传到网页的字符串)~需要被比较的字符串(通常就是被WAF拉黑的字符串)~
2024-05-24 17:01:23 139
原创 CTF wed安全(攻防世界)练习题_ctfweb题目
进入网站如图:翻译:在这个小小的挑战训练中,你将学习Robots exclusionstandard。网络爬虫使用robots.txt文件来检查它们是否被允许抓取和索引您的网站或只是其中的一部分。有时这些文件会暴露目录结构,而不是保护内容不被抓取。好好享受吧!**步骤一:**进入robots.txt文件,如图:**步骤二:**得到/f10g.php,在进入这里面得到flag提交即可成功!!!
2024-05-24 17:00:31 93
原创 CTF wed安全(攻防世界)练习题
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。然而,值得注意的是,Robots协议并不是防火墙,也没有强制执行力。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
2024-05-24 16:59:37 202
原创 CSAPP--ATTACKLAB实验
一、实验步骤二、目标程序三、实验内容第一部分:代码注入攻击3.1. 第一关3.2. 第二关3.3. 第三关四. 实验内容第二部分:面向返回的编程4.1. 第四关4.2. 第五关附录A HEX2RAW的使用附录B 生成字节代码1.1 第一步:获取文件,输入你的学号和email地址,得到targetXXXX.tar文件。
2024-05-24 16:58:39 169
原创 最新微信小程序抓包方法
一、安装 fiddler二、配置打开fiddler tools-> options,genneral: 全选https:connections: 配置代理地址gateway:三、打开电脑端小程序退出微信,登录微信时设置代理打开小程序抓包成功如果没成功打开小程序、打开任务管理器,找到小程序进程,打开文件所在位置退出微信,删除\WMPFRuntime 下所有文件,再次登录打开小程序就可以了。接下来我将给各位同学划分一张学习计划表!
2024-05-21 11:27:57 404
原创 一文通透——Kali Linux基础入门_kali linux 新手教程
此文章可能会包含敏感以及危险的命令❗❗❗命令有风险,回车需谨慎。此文章仅供学习交流与参考使用,禁止运用于任何非法行动或测试中,若有预期之外的后果,将不承担任何责任!!
2024-05-21 11:26:31 861
原创 打造全自动漏洞赏金扫描工具_nuclei扫描器联动xray
建议在 Digital Ocean 或 vultr 等 VPS 系统上运行这些程序,启一个后台线程即可,建议使用tmux的后台功能这样扫描到重复漏洞会非常少的,也会更加容易获取赏金,将更多的关注新资产漏洞资产侦察 资产收集、端口扫描,去重检测,存活探测,漏洞扫描,全自动化,结果通知,全部自动化了,即使睡觉也在挖洞接下来我将给各位同学划分一张学习计划表!
2024-05-21 11:24:43 324
原创 SQL注入漏洞利用
SQL注入是一种注入攻击,可以执行恶意SQL语句。这些语句控制Web应用程序后面的数据库服务器。攻击者可以利用SQL 注入漏洞规避应用程序安全性方面的努力。他们可以绕过页面或Web应用程序的身份验证和授权,并恢复整个SQL数据库的内容。他们同样可以利用SQL注入来包含,更改和擦除数据库中的记录。SQL注入漏洞可能会影响使用SQL数据库的任何站点或Web应用程序,例如MySQL,Oracle,MSSQL或其他。
2024-05-21 11:23:02 407
原创 网络安全ctf比赛_学习资源整理,解题工具、比赛时间、解题思路、实战靶场、学习路线,推荐收藏!...
1、CTF在线工具箱:http://ctf.ssleye.com/ 包含CTF比赛中常用的编码、加解密、算法。2、CTF加解密工具箱:http://www.atoolbox.net/Category.php?Id=273、ctfhub在线工具:https://www.ctfhub.com/#/tools4、还有一些常用的网站字符串2进制互转:http://www.5ixuexiwang.com/str/from-binary.php。
2024-05-20 08:49:59 801
原创 图文详解_安全设备的几种部署方式
顾名思义,在这种工作模式下,安全设备是串联在网络链路中的,所有的网络流量都会经过安全设备过滤,再转发出去。串联模式又分为两种,一是,二是。如图所示,左侧是未接入安全设备的网络配置和拓扑图,交换机上联端口G1/1配置IP地址为192.168.1.1/30,路由器下联端口G1/1配置IP地址为192.168.1.2/30,交换机与路由器之间只需配置路由相互指向即可。
2024-05-20 08:48:52 938
原创 手机termux免root安装kali:一步到位+图形界面_安卓免root安装linux
1.工具:安卓(包括鸿蒙)手机、WiFi、充足的电量、脑子2.浏览器搜索termux,vnc viewer,下载安装。3.对抗华为纯净模式需要一些操作,先断网,弹窗提示先不开,等到继续安装的时候连上网,智能检测过后就可以了(termux正常版本可以通过智能监测,失败了就说明安装包是盗版)4.以后出现类似[Y/n]的东西,输入y按回车就好了。
2024-05-20 08:47:36 999
原创 人工智能和网络安全选哪个好_
关于粉丝提问:本人现在本科大三,个人比较喜欢网络安全攻防渗透,我十分感兴趣,但是目前的大趋势都是相对来说人工智能的nlp和cv都比较好就业和高薪资,我该选择什么方向?作为一个过来的人说一下,必须网络安全。我之前做人工智能,现在已经在做网络安全了。人工智能,要么根本不成熟,很难创造价值,要么成熟的已经杀成红海了。但网络安全行业完全不是那么回事,从企业到政府,普遍投入还不够。但是数字化的转型却极为迅猛,各种机构,各个行业都在上云。即使你所说的人工智能,大部分落地也要依赖云服务。
2024-05-20 08:46:33 689
原创 前端开发转行做渗透测试容易吗?通过挖漏洞来赚钱靠谱吗?
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
2024-05-20 08:45:49 654
原创 网络安全之渗透(基础知识点)_网络渗透
1、 脚本语言2、常见脚本语言3、 HTTP协议,HTTP代理4、 CMS(B/S)内容管理系统5、 MD5(不可逆的,常见的MD5解密网站其实是将一些明文进行MD5加密,形成一个库,在查询的时候将密文与库中的信息进行碰撞,最后得到明文)接下来我将给各位同学划分一张学习计划表!
2024-05-19 19:40:45 798
原创 渗透测试方法共有多少种方法?_渗透测试包括哪些
按照类型的不同,渗透测试方法可以分为一下6类:1、网络服务2、Web应用程序3、客户端4、无线网5、6、物理渗透测试每种方法的渗透测试都需要特定的知识、方法和工具来执行,并且。网络服务渗透测试是最常见的渗透测试类型之一。该种渗透测试,是在组织的网络基础设施(服务器、防火墙、交换机、路由器、打印机、工作站等)中识别出最暴露的漏洞和安全弱点,然后再被利用。执行的目的是以保护的企业免受常见的基于网络的攻击,包括:• 防火墙错误配置和绕过防火墙• IPS/IDS规避攻击。
2024-05-19 19:40:12 652
原创 计算机网络】网络安全 _ 计算机网络安全威胁 ( 四种网络攻击类型 _ 主动攻击与被动攻击 _ 分布式拒绝服务攻击 DDos _ 恶意程序 _ 计算机网络安全目标)_网络攻击的主动攻击方式
网络安全内容 :网络安全概述对称加密 和 非对称加密 体质数字签名因特网安全协议链路加密 与 端到端加密防火墙二、四种网络攻击四种网络攻击 :① 截获 : 窃听 其它的 通信内容 , 不影响网络通信;② 中断 : 中断 他人 的网络通信;③ 篡改 : 篡改 网络上传输的 报文 , 分组 信息;④ 伪造 : 伪造 虚假 报文 信息 , 在网络中传递;
2024-05-19 19:39:12 876
原创 黑客攻击和入侵的八大常用手段有哪些?_黑客都用虚拟机进行攻击的吗
此文章主要向大家讲述的是黑客攻击与入侵的八个常用手段,现在合格攻击的手段早已不仅仅是早期刚出现如病毒、木马、以及间谍软件与网络监听、口令攻击、漏洞攻击等这些攻击手段。黑客攻击技术近年来的最新动态是什么?来,一起看看黑客攻击和入侵的8枪——八大手段。
2024-05-19 19:37:01 906
原创 XSS、CSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
然而这种方法的局限性非常大。以CSRFTester工具为例,CSRF漏洞检测工具的测试原理如下:使用CSRFTester进行测试时,首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息,然后通过在CSRFTester中修改相应的表单等信息,重新提交,这相当于一次伪造客户端请求。
2024-05-18 09:13:31 913
原创 【多图超详细】从零开始安装配置Cuckoo sandbox并提交样本进行分析
*沙盒(Sanbox)**是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行,然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为,安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。Cuckoo sandbox是一款用 Python和C/C++ 编写的开源的自动化恶意软件分析系统,且跨越Windows、Android、Linux和Darwin四种操作系统平台。
2024-05-18 09:12:24 593
原创 通达OA v11.7 在线用户登录漏洞复现(附带一键getshell脚本)
在文章的顶部先说明,本文章所介绍的内容以及所附带的脚本仅供学习,如果存在有牟利行为,个人负责!!!仅用于学习娱乐,切勿用于非法用途!请于下载后24小时内删除,使用者承担所有法律责任!一个类似于越权的漏洞,但是利用的方式确实比较特殊。
2024-05-17 08:10:09 712
原创 腾讯海量存储与CDN的自动化运维
9月14-15日,GOPS全球运维大会上海站圆满举行,为期两天的运维盛宴,为各位运维人带来了相互交流和学习的绝佳平台,来自腾讯技术工程事业群(TEG)架构平台部的裴泽良给大家带来了「腾讯海量存储与CDN的自动化运维」的主题分享。我们同步了嘉宾现场沙龙分享视频(内含高清PPT),请点击下方「腾讯技术课小程序」卡片即可查看:同时附上整理好的演讲稿:裴泽良,来自腾讯技术工程事业群的架构平台部,从事运营系统相关的建设工作超过8年,参与建设了腾讯云CDB、腾讯海量文件存储系统TFS以及腾讯CDN服务的运营体系从初级到
2024-05-17 08:08:05 855
原创 探寻 JavaScript 精度问题以及解决方案
阅读完本文可以了解到0.1 + 0.2为什么等于以及 JavaScript 中最大安全数是如何来的。为确保内容的实时、准确性, 可以。
2024-05-17 08:07:27 650
原创 探秘密码学:深入了解对称加密与密钥协商技术
对于DH算法来说,虽然双方在没有任何预先信息的条件下,可以完成密钥协商,但密钥协商过程也存在中间人攻击的风险。现代密码学中的安全是基于密钥的保密性的,而不是古典密码学的算法的保密性。对于绝大部分普通用户或者组织,相对于去尝试自己开发一个加密算法,直接采用成熟的算法,把精力放在密钥保管上更为合理。
2024-05-16 13:49:44 230
原创 谈谈JavaScript中的this机制
this是JavaScript中比较复杂的机制之一,本篇文章希望可以带大家了解this相关的知识。本文内容来自书籍《你不知道的JavaScript(上卷)》,只是自己稍微整理一下。
2024-05-16 13:48:49 322
原创 谈谈 Web 安全
攻击者无时无刻不在准备对你的 Web 应用程序进行攻击,因此提高你的 Web 应用程序的安全性是非常有必要的。幸运的是,来自(OWASP) 的有心人已经整理了一份包含了已知安全问题和防御方式的全面的清单。这份清单对于具有安全意识的开发者来说是必读的。由 Padraic Brady 著作的也是一份很不错的 PHP 安全阅读资料。
2024-05-16 13:48:12 305
原创 谈escapeshellarg绕过与参数注入漏洞
我们可以将用户输入的query放在列表的一项,这样也就避免了开发者手工转义query的工作,也能从根本上防御命令注入漏洞。可见,仍然是存在参数注入漏洞的。原因还是0x02中说的原因,你把query放在了“参数选项”的位置上,无论怎么过滤,或者换成其他语言,都不可能解决问题。参数注入的例子还比较多,因为大部分的开发者都能理解命令注入的原理,但处理了命令注入后,往往都会忽略参数注入的问题。参数注入漏洞是指,在执行命令的时候,用户控制了命令中的某个参数,并通过一些危险的参数功能,达成攻击的目的。
2024-05-16 13:47:39 410
原创 它来了!靶机渗透题目的一次实战记录
Sink是HackTheBox上一道难度是insane的Linux靶机,做了很久HackTheBox,第一次做insane难度的,还是学到了很多东西的,在这里跟大家分享一下。【资料获取】题目主要涉及到的知识点是:总的来看,这个靶机主要涉及到了HTTP请求走私、Gitea信息泄露、AWS CLI配置、等知识点,以前没搞过AWS的可以通过这个靶机好好熟悉下。另外HTTP请求走私虽然利用比较苛刻,但是也算是一个可以利用的攻击方法,需要后续在深入学习下。# 学习计划安排。
2024-05-16 13:46:44 243
原创 速度!快速临时解决Log4j惊天漏洞
一对一问题解答,获取免费的丰富简历模板、提高学习资料等,做好新时代的卷卷王!Apache Log4j2是一个基于Java的日志记录工具,是Log4j的升级,在其前身Log4j 1.x基础上提供了Logback中可用的很多优化,同时修复了Logback架构中的一些问题,是目前最优秀的Java日志框架之一。该日志框架被大量用于业务系统开发,用来记录日志信息。开发者可能会将用户输入造成的错误信息写入日志中。
2024-05-16 13:45:38 206
原创 使用SpringSecurity
前几天写了一个SpringBoot对拦截器的使用,在实际项目中,对一些情况需要做一些安全验证,比如在没有登录的情况下访问特定的页面应该解释的拦截处理。这一篇介绍使用SpringSecurity来做简单的安全控制,由于SpringSecurity比较复杂,如果有不对的地方可以大家一起学习。
2024-05-15 08:19:54 930
原创 使用shiro安全管理
之前介绍了springboot使用security进行权限管理,这篇文件介绍一下springboot使用shiro进行安全管理。简述本文的场景,本文使用springboot1.5.9+mysql+jpa+thymeleaf+shiro制作一个简单的验证,其中有2个角色,分别是admin和user,admin可以使用select和delete功能,user只能使用select功能。创建了三个实体类,分别是 SysUser(用户表)SysRole(角色表)SysMenu(菜单表)index.html。
2024-05-15 08:17:20 567
原创 使用Cilium增强Istio—通过Socket感知BPF程序
本博客将介绍BPF和Cilium如何增强Istio的一些细节,主要关注Istio的安全性,开启Istio对外部服务的支持和性能部分。我们很幸运能够参与社区活动,为Istio做出贡献,并帮助一些用户通过Istio和Cilium进行生产部署。如果您有兴趣在深入了解技术细节之前了解Istio + Cilium的用户故事,请考虑阅读HP FitStation团队(最大的Cilium + Istio用户之一)发布的以下Istio博客:。
2024-05-15 08:16:27 679
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人