实习实训day1

已于 2024-08-28 20:01:55 修改
阅读量931 收藏 20
点赞数 13
文章标签: java http
于 2024-08-27 20:50:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZXY10298/article/details/141571130
版权

目录

一. 内外网互联技术

​​​​​​二. 环境安装

1. JAVA

2. Python

三. pikachu

1.环境搭建

2. 暴力破解:基于表单的暴力破解

2.1 proxy模式

2.2 Intruder模式

(1)狙击手

(2)交叉

(3)集束炸弹

2.3 Repeater模式

一. 内外网互联技术

1. 端口映射(NAT技术):

端口映射(NAT,网络地址转换)技术允许将内网机器的端口映射到外网IP地址的某个端口上,这样外网用户就可以通过访问这个外网IP地址和端口来访问内网中的特定服务。NAT技术包括静态NAT、动态NAT和端口NAT(PAT)等类型。

2. VPN(虚拟专用网络):

VPN通过加密技术在公共网络上建立一个虚拟的私有网络,使内网用户能够安全地访问外网资源,就像在同一个局域网内一样。VPN协议包括PPTP、L2TP、OpenVPN等。

3. 代理服务器:

在内网中搭建代理服务器,将内网用户的请求转发到外网,并从外网获取响应后返回给内网用户。这样,内网用户就可以通过代理服务器间接访问外网资源。常用的代理服务器软件有Squid、Nginx、Apache等。

4. 远程桌面协议(RDP)或远程Shell

  • 远程桌面协议(RDP):主要用于Windows系统,允许用户远程访问和控制另一台计算机。通过配置RDP服务,外部用户可以通过互联网安全地访问内网中的服务器或计算机。
  • 远程Shell(如SSH):在Linux和Unix系统中常用,SSH(Secure Shell))提供了一种加密的网络协议,用于远程登录和命令执行。通过SSH,用户可以安全地访问内网服务器,执行命令或传输文件。

5. 反向代理服务器

反向代理服务器位于内网和外网之间,负责将外部的请求转发到内网服务器上处理。这种方式不仅可以实现内外网的互联,还可以提高内网服务器的安全性和访问效率。

6. DirectAccess(直接访问)

DirectAccess是Windows Server提供的一种远程访问技术,允许远程用户直接连接到企业内网,无需使用VPN客户端或连接到特定的网络位置。DirectAccess使用IPv6和过渡技术(如Teredo或6to4)来穿越NAT和防火墙,提供无缝的远程访问体验。

7. 软件定义网络(SDN)

SDN是一种新兴的网络架构,它将网络控制平面与数据转发平面分离,实现了网络资源的集中管理和灵活配置。通过SDN,企业可以更容易地实现内外网的互联,并根据业务需求动态调整网络策略。

8. API网关

API网关是微服务架构中常用的组件,它位于客户端和服务器之间,负责处理所有的API请求。通过API网关,企业可以实现内外网服务的统一管理和访问控制,同时提供负载均衡、安全认证等功能。

​​​​​​二. 环境安装

1. JAVA

主要用的是java8,但遇到了需要高版本的情况,因此又装了个java17,切换版本时编辑环境变量即可。

java8安装情况:

java17安装情况:

系统环境变量配置情况:

两个版本我都安装在D:\env\Java\路径下,需要切换版本时更改JAVA_HOME为对应的变量即可。

此外,还要配置PATH变量:

这里遇到一个小坑:由于之前安装老版本java时配置过一次PATH,现在卸载了老版本后,新装java8时,自动在最上面添加了C:\Program Files (x86)\Common Files\Oracle\Java\java8path,导致手动配置的%JAVA_HOME%\bin和%JAVA_HOME%\jre\bin无效了,版本一直都是java8。所以要把这两条移到上面去,或者直接删掉自动添加的那条。同理,安装java17时也要再修改一下PATH变量。

Tips:

Windows 系统在查找可执行文件时,会按照 PATH 变量中目录的顺序进行搜索,并使用它找到的第一个匹配项。

2. Python

安装情况:

三. pikachu

1.环境搭建

使用phpstudy2018搭建环境。为了避免可能的端口冲突,web服务器端口我配置成了8081:

把pikachu放到WWW目录里,修改pikachu\inc目录下的config.inc.php,根据自己的mysql环境修改用户名密码等(我这里用户名是root,密码是123456):

然后访问install.php进行安装:

之后就可以用浏览器正常访问网站了:

2. 暴力破解:基于表单的暴力破解

要求:使用proxy、Intruder、Repater三种模式复现,Proxy模块需要直接修改请求包,并拦截返回包进行截图,Intruder需要使用狙击手、交叉和集束炸弹三种形式复现。

2.1 proxy模式

先admin+12345登录并用BP抓包:

在proxy模块直接修改密码为54321,然后拦截返回包:

一直放包直到拦截到对应的响应包,可以直接修改,放行后的响应就会返回到浏览器:

2.2 Intruder模式

抓包并送到Intruder:

(1)狙击手

在password处设置payload:设置一个简单的payload集:

攻击完成以后,排序包长度,发现登陆成功,成功爆破出admin的密码123456:

(2)交叉

在username和password处都设置payload:

payload集1中添加6个用户名:

payload集2中添加6个密码:

该攻击模式会同时遍历组合两个payload集,因此一共请求6次。爆破并排序包长度,得到admin的密码为123456:

(3)集束炸弹

同样在username和password处都设置payload:

使用和交叉攻击模式同样的payload集。该攻击模式会依次遍历两个payload集并做组合,因此一共请求36次:

爆破并排序包长度,得到admin的密码为123456:

2.3 Repeater模式

抓包并送到Repater:

Repeater模式中,可以任意修改并多次投放请求包:

将请求包中admin的密码改为123456后发送,响应包显示成功登录:

ZXY10298
关注
  • 13
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
鸿蒙实训day1
weixin_45799410的博客
05-17 546
今天的主要工作是完成鸿蒙3.0的安装,熟悉鸿蒙的体系和开发模式。根据步骤安装鸿蒙3,0,没有出现非常严重的问题,需要注意的点就是安装OpenHarmony的Sdk和Huawei的Sdk的时候,两个文件的安装路径不能相同,相同的话会导致文件覆盖从而影响后续的安装和使用,后续选择自己所需要的Sdk版本进行下载安装。 点击Next进入基础配置页面,在此页面你可以设置你项目的名称,项目类型(可选择原子服务(不可再分解为更细粒的服务)或者是应用类型),捆绑包名称,保存路径,开发模式(可选择传统编码或者是超越视觉系
python实训目的意义_Python-暑期实训day 1
weixin_39854070的博客
11-26 5020
python基础:一 编程语言什么是编程语言?上面提及的能够被计算机所识别的表达方式即编程语言,语言是沟通的介质,而编程语言是程序员与计算机沟通的介质。在编程的世界里,计算机更像是人的奴隶,人类编程的目的就命令奴隶去工作。什么是编程?编程即程序员根据需求把自己的思想流程按照某种编程语言的语法风格编写下来,产出的结果就是包含一堆字符的文件。强调:程序在未运行前跟普通文件无异,只有程序在运行时,文件内...
网络安全毕业实习实训Day1 总结
小鱼的博客
08-27 694
Python、Java环境配置,Pikachu靶场搭建,结合BurpSuite采用多种方法实现弱口令爆破。
实习实训day3
ZXY10298的博客
08-29 813
1.安装xray 实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)2.安装goby,实现对皮卡丘靶场的扫描,无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作3.加分项:实现xray和burpsuite联动扫描4.加分项:说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理。
实习实训day4
ZXY10298的博客
08-30 676
DOM型XSS可以窃取用户的敏感信息、修改页面内容或进行其他恶意活动,由于它发生在客户端,因此需要在客户端代码层面采取相应的安全措施来防止此类攻击。存储型XSS常见于论坛、博客和留言板等交互性强的网站,攻击者可以通过注入恶意脚本窃取用户数据、篡改页面内容或进行其他恶意活动。因此输入&、"、都会被编码,导致不会被浏览器识别为预定义字符。,那么这段脚本将会在页面上执行,弹出一个包含"XSS"的对话框。属性中的URL,于是将该URL扔给URL解析器进行处理。div中被执行,弹出一个包含"XSS"的对话框。
实习实训day2
ZXY10298的博客
08-28 482
CDN(Content Delivery Network)内容分发网络原理、组成、访问过程、动静态加速、作用详解绕过技巧CDN和传统方式的访问流程区别DNS解析过程:传统方式直接解析到源服务器IP地址;CDN方式则先解析到CNAME记录,再解析到最近的CDN节点IP地址。内容请求与响应:传统方式直接请求源服务器;CDN方式则首先请求CDN节点,CDN节点可能直接从缓存中提供内容,或向源服务器请求后再提供。访问速度和效率:CDN方式通过缓存和就近访问显著提高了访问速度和效率,减轻了源服务器的负载压力。
网络安全实训Day1
Yisitelz的博客
03-11 984
网络安全实训笔记,day1
网络安全毕业实习实训Day4 总结
小鱼的博客
08-30 622
XSS相关知识学习;Xss-labs靶场实战。
网络安全毕业实习实训Day2 总结
小鱼的博客
08-28 788
nmap、dirmap、fscan实战及课堂思考
计算机专业实习实训内容和要求,大学生计算机实习目的和要求.doc
weixin_39578457的博客
06-21 2427
大学生计算机实习目的和要求大学生计算机实习目的和要求1、学生在学习了专业课程之后,通过专业实习,在了解企业概况的基础上,对与计算机应用密切相关的某一方面的管理业务活动进行详细调查和系统分析,建立业务管理信息系统的整体概念,学会运用专业知识去发现问题和解决问题的方法,增强业务实践能力。2、通过实习,参加一定的业务活动和管理实践,了解企业的管理现状、所具备的基础及存在的问题,了解国情,增强学好专业的信...
微信小程序实训 Day 01 实习日志
Laufen_j的博客
06-27 3968
1.第一次实训还是有一点点小激动滴~ 2.老师上课前发了两个软件包,chrome和sublime text3,因为之前有接触过前端,所以电脑里面已经安装好了这两个软件了。 3.老师讲课速度很快,因为老师打算今天上午讲完html,css和js,因为自己有一些基础所以还算能跟得上,然后一直跟着老师敲代码,记笔记。 接下来进入正题 1.html 上课记的笔记 html 超文本标记语言...
微信小程序实训 Day 02 实习日志
Laufen_j的博客
06-27 2010
今天老师开始讲了微信小程序。 但是今天设备出了一些事情,所以耽误了蛮多时间。 1.在百度搜索微信平台公众官网,然后进入之后登录,点击普通小程序开发者工具,下载稳定版的64位微信小程序开发软件。 2.出了一些意外,但是老师讲了一下这个骰子布局,我们学习了这个博客里的。 骰子布局语法 http://www.ruanyifeng.com/blog/2015/07/flex-gramm...
Java基础(6)- Java代码笔记3
weixin_47062560的博客
08-30 690
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
操作系统原子操作
zzt_is_me的博客
08-28 6554
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 4114
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
基于Java+Springboot+Vue+elememt宠物用品商城系统设计实现
最新发布
央顺科技官方博客
08-31 1043
随着信息技术的不断发展,我们现在已经步入了信息化的时代了,而信息时代的代表便是网络技术的日渐成熟,而现在网络已经和我们的生活紧密的联系起来了,我们不敢想象没有网络我们的生活会像怎么样,也许就像食物中没有调料现在的生活离开了网络会变得索然无味。通过网络我们可以足不出户的做许多事情,例如工作、娱乐、学习,交友和购物等等许多我们数之不尽的事情,而就是因为网络我们的生活变得多姿多彩,或许有时甚至帮我们省下不少的时间和给予了我们更多的机遇。宠物网上商城对我们来说就有这些意义。
优秀的开源项目
猪猪
08-28 568
目录热key多线程并行秒级百G级日志工具ES操作工具消息推送平台HTTP 客户端业务层的分布式限流组件企业级微服务解决方案hotkey: 京东App后台中间件,毫秒级探测热点数据,毫秒级推送至服务器集群内存,大幅降低热key对数据层查询压力asyncTool: 解决任意的多线程并行、串行、阻塞、依赖、回调的并行框架,可以任意组合各线程的执行顺序,带全链路执行结果回调。多线程编排一站式解决方案。来自于京东主App后台。asyncTool: 解决任意的多线程并行、串行、阻塞、依赖、回调的并行框架,可以任意组合各
spring-data-redis中RedisRepository仓储
OceanSky的专栏
08-27 471
Id@RedisHash注解的value属性和@Id注解指定键值的命名空间,组合成user:id;@RedisHash的属性timeToLive属性指定键值的超时时间。CrudRepository接口中默认定义实现了save、saveAll、findById、existsById、findAll、findAllById、count、deleteById、delete、deleteAllById、deleteAll等方法,基本满足了对redis操作的需求;如果有特殊需求可以自定义实现。
c语言简单万年历实训报告
06-02
以下是一个简单的C语言万年历的实训报告,供您参考: 一、实训目的 本次实训的主要目的是通过编写一个简单的C语言万年历程序,巩固C语言基本语法和编程思想,提高编程能力和解决问题的能力。 二、实训要求 1、能够使用C语言基本语法和控制语句编写程序。 2、能够使用数组来存储和操作数据。 3、能够使用函数来实现模块化编程。 4、能够使用指针来操作内存中的数据。 5、能够使用文件来读取和写入数据。 三、实训内容 1、程序功能 本程序实现了一个简单的万年历功能,可以通过输入年份和月份来显示该月的日历。 2、程序实现 以下是本程序的主要代码实现: ```c #include <stdio.h> // 判断是否为闰年 int is_leap_year(int year) { if ((year % 4 == 0 && year % 100 != 0) || year % 400 == 0) { return 1; } else { return 0; } } // 获取某个月份的总天数 int get_days(int year, int month) { int days[] = {31, 28 + is_leap_year(year), 31, 30, 31, 30, 31, 31, 30, 31, 30, 31}; return days[month - 1]; } // 获取某个日期是星期几 int get_weekday(int year, int month, int day) { if (month == 1 || month == 2) { year--; month += 12; } int c = year / 100; int y = year % 100; int w = y + y / 4 + c / 4 - 2 * c + 26 * (month + 1) / 10 + day - 1; w = (w % 7 + 7) % 7; return w; } // 显示日历 void show_calendar(int year, int month) { int days = get_days(year, month); int weekday = get_weekday(year, month, 1); printf(" 日 一 二 三 四 五 六\n"); int i; for (i = 0; i < weekday; i++) { printf(" "); } for (i = 1; i <= days; i++) { printf("%2d ", i); if ((weekday + i) % 7 == 0) { printf("\n"); } } if ((weekday + days) % 7 != 0) { printf("\n"); } } int main() { int year, month; printf("请输入年份:"); scanf("%d", &year); printf("请输入月份:"); scanf("%d", &month); if (month < 1 || month > 12) { printf("月份输入错误!\n"); return 1; } printf(" %d年%d月\n", year, month); show_calendar(year, month); return 0; } ``` 四、实训总结 通过本次实训,我学会了如何使用C语言来编写一个简单的万年历程序,巩固了C语言基本语法和编程思想,加强了对函数、数组、指针、文件等概念和用法的理解,提高了编程能力和解决问题的能力。同时,我也意识到在编程过程中需要注重代码的规范、可读性和可维护性,这对于日后的开发工作非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值