- 博客(16)
- 收藏
- 关注
RSS订阅原创 虚拟机无法ping通网关和主机的解决
写这个的起因,我想用bp去抓某些网站的逻辑漏洞,结果打开我配置的kali,淦连不上网。那就冲它呗。首先我的kali已经配置好静态ip,这里普及一下怎么配置静态ip: vim /etc/network/interfaces #the lookback network interface auto lo #iface lo inet loop...
2020-04-16 15:51:17
1783
4
原创 数据库注入漏洞线上靶场练习(mozhe)
今天练习了墨者的线上数据库漏洞手工注入(别问为什么,问就是简单,我可以做)。注:没有钱所以只做了几个,有钱的可以全部做完。在你们去练习的前面我需要普及一些关于数据库的知识:第一点 数据库分为关系数据库和非关系数据库,两者代表(在我的印象里面的代表)关系型.Oracle,mysql,sqlserver,Access 非关系.MongoDB。两者的主要区别就是:https://blog.csdn....
2020-03-31 20:21:49
1680
原创 Termux安装(解决2020.2.20前的问题)
简单说一下termux是个什么东西。Termux是一个Android下一个高级的终端模拟器,开源且不需要root,支持apt管理软件包,十分方便安装软件包,完美支持Python,PHP,Ruby,Go,Nodejs,MySQL等。随着智能设备的普及和性能的不断提升,如今的手机、平板等的硬件标准已达到了初级桌面计算机的硬件标准,用心去打造完全可以把手机变成一个强大的工具. 换句话说就是手机kal...
2020-02-20 13:41:43
6902
1
原创 bugku练习
主要链接:https://www.jianshu.com/p/aece4bdf0b96工具下载:http://www.ctftools.com/down/0e开头的md5值:https://blog.csdn.net/fengzhantian/article/details/80490629?utm_source=blogxgwz2...
2020-02-18 01:02:35
310
原创 dvwa练习之sql inclusion(blind)数据库注入之盲注。
数据库盲注简单来讲就是你输入一条语句,数据库返回告诉你这条语句是否正确。举个例子:数据库名长度是4,返回是的。首先还是给出主要参考链接:https://www.freebuf.com/articles/web/120985.html 我们后面还是需要老朋友burp。然后给出整理的语句:猜测当前数据库名1,猜测数据库长度:1' and length(database()) = ...
2020-02-15 22:08:50
286
原创 dvwa练习之File inclusion and Upload(文件包含和文件上传漏洞)
先写写我对这个标题的理解,文件包含分为本地文件包含与远程文件包含(本地就是使用D盘绝对路径或者C盘,远程是指使用ip加文件路径),这两种都是你使用路径就可以访问相应的文件,它的作用是配合文件上传漏洞使用的,当利用文件上传漏洞上传图片或者其他需要访问才能生成后门的文件时,就使用该方法。(当然没有上传漏洞的时候可以考虑使用Apache服务器运行后会生成两个日志文件,这两个文件是access.log(访...
2020-02-15 01:58:37
289
原创 补上一篇留下的窟窿(为了那一个留言的朋友)-关于sql注入执行语句报错Illegal mix of collations for operation 'UNION'
直接百度为什么会出现这个问题,回答是查询的时候那一列的字符序不同。具体解释连接如下:https://www.cnblogs.com/hongthink/p/6225468.html然后我就去找数据文件放在那里,修改相关列的数据类型,可惜没有找到。如果你找到了欢迎回复告诉我一下。接下来就是希望通过http://localhost/phpmyadmin。路径查看文件结果要我安装软件,我淦。...
2020-02-10 23:55:26
1103
2
原创 dvwa学习之 JavaScript Attacks(前段攻击)
做完这个项目感觉就是破解密码,总结一句话:寻找前段token加密的方法,然后自己写相关加密过程,得到最终的token值,然后利用burpsuite填写token就OK了。(这是学习总结,实验博客在这里:https://blog.csdn.net/qqchaozai/article/details/102756976)low级:f12后,看见token值加密是使用MD5,下载页面,在生成toke...
2020-02-02 21:50:55
808
原创 dvwa学习之命令注入(command injection)
首先你可能会遇见ping一个ip后出现乱码的情况,那就是在DVWA-master\dvwa\includes目录下的到dvwaPage.inc.php文件中设置的字体是utf-8,解决方法把所有的”charset=utf-8”,修改”charset=gb2312”。(真实情况,俺遇见解决了回来改)。学习命令注入,首先去看high等级的源码。因为你会发现,低级和中级只是使用的符号不一样。如...
2020-01-10 22:57:53
303
原创 接上一篇dvwa学习,今天写Brute Force Source(暴力破解)
就是dvwa练习的第一个项暴力破解。第一方面我们普及一下怎么判断可以暴力破解:简单来说就是几个字,用户和密码可以多次输入。复杂来讲就是这个链接:没有找到讲这个,那么我这个二把刀就来讲一下:看它登录页面就只有账号,密码。接下来讲一下dvwa里面四个等级的解析,low级,简称白痴级别,官方给的英文为以下:The developer has completely missed out any...
2020-01-10 22:11:26
348
原创 接上一篇,DVWA练习web安全。(借鉴文章,写总结东西)
首先这次要使用一款工具:burp 菜刀。(先说一下,我在网上去下载菜刀,然后使用的时候win疯狂报错,然后我用安全软件去扫描了菜刀文件夹。我淦,真有毒。建议你们下载的时候也去看看这篇文章:https://blog.csdn.net/yalecaltech/article/details/86476073)记住在使用网络安全软件时一点要留心眼,是否有黑吃黑。数据库注入,xss,文件上传漏洞。...
2019-12-11 18:28:03
365
1
原创 简单的练习渗透测试的方法(真的很简单)
首先渗透测试就是传说的黑客选手。砸门现在开始教程(文中涉及很多下载链接,本人就是使用这个链接,所以我也不知道有没有中毒,不过既然要做这一行,砸门不是已经被黑就是在被黑的路上。所以没有关系啦)第一步:虽然我们不能确定自己被没有被黑,或者我们安装的软件是否有毒的情况下,砸门先开一个保护的东西再说:比如360,或者电脑管家,或者知名公司旗下的产品。知名公司例如:知道创宇,360,绿盟等。我反正...
2019-12-01 19:27:39
1756
原创 关于程序员笔试面试建议(校招)
首先介绍一般流程:网申 -> 线上笔试(线下笔试)-> 面试 -> 录取在网申的时候需要对你的一些基本情况进行编写,主要就是注意联系方式不要写错,不然你就会接不到任何通知,其次是把你的获奖,项目经验写上去。然后公司一般只会关注你的第一志愿,所以找到自己的兴趣,一旦你进入到一个领域很难短时间跳到另外一个领域。笔试:一般纸质笔试(线下笔试)都会有一定的编程,所以选择自己擅...
2019-03-27 17:17:51
1653
原创 Guide your learning to become a hacker
这里有一篇适合新手看的链接(如果英语不好请下载个翻译软件):http://catb.org/~esr/faqs/hacker-howto.html前面我觉得说了一些不是很重要的东西可以直接从:Why This Document?开始看。现在我还没有看完,所以等我看完之后总结出来!今天有心情研究一下wifi密码的问题:其实是想做一个很nb的密码字典。参照这个博客园的分享自己去做...
2019-03-06 17:02:32
239
转载 修改cmd 语言。
点运行中的 CMD.EXE 窗口左上角,出现菜单,选“属性”一看,“属性”中的“当前代码页”框框里写着这么一行:“437 (OEM - 美国)”,问题关键就是这里。重新点出菜单,选“默认值”项,发现“默认值”里的“当前代码页”是可以设置,有两个选项:“437 (OEM - 美国)”和“936 (ANSI/OEM - 简体中文 GBK)”,将“当前代码页”设置为“936 (ANSI/OEM - ...
2019-02-21 11:15:15
1915
原创 .net 实习技术。
本人现阶段是大四计算机专业的学生,没有考研打算所以出来实习。 ASP.net 认知:https://zh.wikipedia.org/wiki/ASP.NET。简单来说就是在用微软提供的开发web应用程序的类库开发东西。 首先进入公司我们运用c#编写一个员工管理系统:https://github.com/caption007/QWER具体教程链接:https://docs.m...
2019-02-18 15:35:04
681
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人