- 博客(13)
- 收藏
- 关注
RSS订阅转载 PentestBox中部分工具整理
漏洞利用工具:clusterd - inclusterd是一个开源应用服务器攻击工具包。clusterd自动化识别应用服务器的指纹,侦察和利用。 jexboss - JexBoss是一个用于测试和利用JBoss Application Server漏洞的工具。 信息收集:cangibrina - Cangibrina是一个多平台工具,旨在通过wordlist,google,nmap...
2018-08-21 16:31:55
2758
转载 python基础笔记
如下笔记均摘抄自http://www.runoob.com/python/python-tutorial.htmlpython笔试面试题:https://github.com/taizilongxu/interview_python1、基础语法Python 标识符在 Python 里,标识符由字母、数字、下划线组成。在 Python 中,所有标识符可以包括英文、数字以及下划线(_)...
2018-08-17 13:36:59
279
转载 正则表达式笔记
1、非捕获组(non-capturing)关于捕获的一些主要用法(?:X)(?=X)(?<=X)(?!X)(?<!X)小括号里包裹指定字表达式(子串),这就是分组。使用小括号指定一个子表达式后,匹配这个子表达式的文本(即匹配的内容)可以在表达式或者其他过程中接着用,默认情况下,每个分组(小括号)会自动拥有一个组号,从左到右,以分组的左括号为标志,第一个出...
2018-08-16 14:53:40
279
转载 python-格式化
在Python 中,采用的格式化方式和 C 语言是一致的,用 % 实现,举例如下:>>> 'Hello, %s' % 'world''Hello, world'>>> 'Hi, %s, you have $%d.' % ('Michael', 1000000)'Hi, Michael, you have $1000000.'% 运算符就是用来...
2018-08-16 14:34:02
192
原创 日志数据处理相关
s = "url=%2F&email=imtesting%40tempmail.com&password=hereispassword"print urllib.unquote(s) >>> url=/&email=imtesting@tempmail.com&password=hereispassword为了将每一个标点和控制符都“转...
2018-08-16 14:25:07
318
转载 pandas去重及格式转换
1、pandas 读取数据import pandas as pddata = pd.read_table('Z:/test.txt',header=None,encoding='gb2312',delim_whitespace=True,index_col=0)#header=None:没有每列的column name,可以自己设定#encoding='gb2312':其他编码中文显示...
2018-08-16 14:16:40
1272
原创 ModSecurity规则库学习
OWASP ModSecurity Core Rule Sethttps://www.netnea.com/cms/core-rule-set-inventory/可以看到规则非常细,整理分析文章:https://yq.aliyun.com/ziliao/52871、主要规则文件:REQUEST-910-IP-REPUTATION.conf(可疑IP匹配)REQUEST-9...
2018-08-16 14:12:00
6370
原创 巡风探索
模块内容包括:├─nascan│ │ NAScan.py # 网络资产信息抓取引擎│ ││ ├─lib│ │ cidr.py │ │ common.py 其他方法│ │ icmp.py # ICMP发送类│ │ log.py # 日志输出│ │ mongo.py # 数据库连接│ │ sca...
2018-08-06 16:25:28
5645
1
转载 python学习笔记
字符串 为了简化,Python允许用r''表示''内部的字符串默认不转义。>>> print('la\\rlala')la\rlala>>> print(r'la\rlala')la\rlala如果字符串内部有很多换行,用\n写在一行里不好阅读,为了简化,Python允许用'''...'''的格式表示多行内容。 >>>...
2018-07-26 18:13:42
138
转载 Jenkins 任意文件读取漏洞
Jenkins通过stapler处理请求,所以从web.xml开始,从doDynamic 方法到serveLocalizedFile 方法到request.getLocale() ,Jetty 在获取 Locale 的时候直接从 HTTP Headers 里取出 Accept-Language 头,用 - 分割后返回了一个 Locale 对象。也就是我传入Accept-Language: ../....
2018-07-26 13:55:32
716
转载 flask学习笔记
1、模板模板渲染Flask 配备了 Jinja2 模板引擎,通过使用 render_template() 方法来渲染模板,render_template函数把Jinja2模板引擎集成到了程序中。render_template函数的第一个参数是模板的文件名。随后的参数都是键值对,表示模板中变量对应的真实值。from flask import render_template...
2018-07-20 18:03:50
265
转载 jsonp相关的安全问题
1、jsonp劫持如果b.com通过jsonp的方式获取json数据,攻击者通过构造恶意的jsonp调用页面a.com.html,a.com.html中通过<script></script>标签,远程调用b.com下的json文件,被攻击者在已登录b.com时,访问a.com.html,攻击者即可获取敏感数据。<script>function woo...
2018-07-11 14:51:34
755
原创 PenTesters框架(PTF)
PTF是一个为Debian/Ubuntu(计划扩大到更多平台)设计的分布式Python脚本,可以创建类似的、熟悉的分布式渗透测试。PTF尝试安装所有的渗透测试工具(最新版本),编译、构建他们,然后让它安装/更新任何机器上的分布。一切都有组织的按照渗透测试执行标准(PTES)执行,并消除了很多几乎不用的功能。PTF简化了安装和打包,并为你创建了一个完整的渗透框架。由于这是一个框架,所以你可以配置、添...
2018-03-26 14:08:04
1517
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人