- 博客(68)
- 资源 (2)
- 收藏
- 关注
RSS订阅
原创 Jupyter NoteBook安装入门
Jupyter NoteBook安装入门目录Jupyter NoteBook安装入门前言Jupyter NoteBook下载即安装。运行结果创建一个运行项目问题总结修改Jupyter NoteBook的默认工作空间关于 pip 的版本更新问题结束语前言以下内容使用的操作系统均为 Windows。由于这几天需要完成学校的作业,老师推荐下使用Jupyter NoteBook进行python程序的编程,顾这里写下 Jupyter Notebook 的安装教程,顺便回顾一下安装过程中遇到的问题。Ju
2020-05-25 20:25:38
151
1
原创 (非常详细)利用Maven搭建第一个Web项目
使用Maven搭建第一个Web项目这里写目录标题使用Maven搭建第一个Web项目序言(简单介绍一下Maven):Maven环境的配置一、下载maven二、配置maven文件三、IDEA 中 Maven的配置创建第一个Web项目一、创建新项目选择如下:二、手动添加 Web 项目的结构:三、添加Web项目所需要的jar包:四、配置Tomcat运行项目最后就是添加代码去完成自己的web项目了!序言(简单介绍一下Maven):编译器:IntelliJ IDEA初学java必定会接触到项目管理工具—Ma
2020-05-23 00:26:04
344
原创 简单的校园图书馆系统
简单的校园图书馆系统这个项目是我在学习JAVA时做过的小项目,说实话用到的太深层的东西没多少,但应付应付学校的JAVA课设还是可以的。项目介绍本次的项目是开发一个简单的图书馆管理系统,类似于学校的图书馆系统。用户身份包括:超管、普通管、学生。图书馆系统能够实现首页图书展示、导航栏进行导航、以及在给定范围内能够搜索指定要求书籍。超管具有管理所有用户、管理所有书籍、管理所有借阅记录等权...
2020-05-06 13:07:29
853
2
原创 C++ 基础知识(数据及常量+运算及优先级+数据类型转换)
C++基础知识C++的数据类型º ¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ ⁹ ⁺ ⁻ ⁼ ⁽ ⁾ ⁿ ′ ½数据类型类型说明符占用字节数数的范围整型int4-2³¹ ~ 2³¹ - 1短整型short [int]2-32768 ~ 32767长整型long [int]4-2³¹ ~ 2³¹ - 1单精度浮点型float4± 3.4 ...
2020-03-08 22:12:59
2091
1
原创 1024勋章手册
过来混个勋章正文听说了么,听说今天 10.24 - 10月24日,只要发一篇文章就可以得到 1024 程序员专属勋章 (/doge)????
2021-10-24 21:22:35
193
原创 Django-查询模型数据输出技巧(一)
Django-查询模型数据打印技巧正常情况下,如果没有去自定义输出,我们在获取到查询对象后需要手动一个个属性取值,然后输出查看,这很麻烦,没错!Django 为我们提供了一个和 JAVA中自定义toString()方法类似的功能,方便我们使用,下面我将以 user 作为模型类来演示。__str__()models.py 文件from django.db import modelsclass user(models.Model): # 用户模型 name = models.C
2021-09-18 14:44:23
1392
原创 Django框架-python manage.py makemigrations提示
Django框架-python manage.py makemigrations提示问题描述:在执行 Django 迁移时,提示:You are trying to add a non-nullable field 'record_id' to record without a default; we can't do that (the database needs something to populate existing rows).翻译:你在尝试向 record表 添加一个非空字段 rec
2021-09-18 11:00:30
590
2
原创 浅学-Django框架(二)
Django框架0x06、Django 的请求与响应Django的请求Django 请求之GETDjango 请求之POST响应0x07、模板层模板的创建模板的应用模板的变量模版功能标签模板过滤器模板的继承传送门:Django 框架(一)系统环境:Django 3.2.4,python 3.8.0,mysql 5.70x06、Django 的请求与响应Django的请求请求有页面浏览器发起,通过 Http协议 传递给后端,交由视图函数处理。Django 在接收到 http协议 的请求后,会
2021-09-17 09:07:20
163
原创 浅学-Django框架(一)
Django框架0x01、Django 项目四件套0x02、主要目录配置settings.py0x03、视图0x04、路由配置path() 函数0x05、数据库在 django 框架中创建模型激活模型更改数据库实例:系统环境:Django 3.2.4,python 3.8.0,mysql 5.70x01、Django 项目四件套Django的启动服务python manage.py runserver ip:portDjango创建项目# 在你想创建项目的文件夹下django-a
2021-09-15 18:29:58
571
原创 浅学-Vue前端框架
浅学-Vue前端框架以下涉及到代码的部分,记得导入vue.js,涉及版本:vue 2.x<script type="text/javascript" src="js/vue.js"></script>理解1、vue的使用需要生成一个vue的实例:var vm = new Vue({ ...})2、在vue对象实例化前存在的变量,在后续过程中所发生的属性的改变会同时影响vue中的相关对象与源对象。var data = {data:0}var
2021-09-14 11:27:15
203
原创 简学-CSRF 攻击
CSRF(Cross-site Request Forgery 跨站请求伪造)攻击来源:CSRF通过伪装来自受信任用户的请求来利用受信任的网站。是web中用户身份认证的一个漏洞。攻击原理:攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如:发邮件、发消息、甚至财产操作:转账、购买商品等)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份认证的一个漏洞 防御手段:1、检测HTTP报文头部字段Referer。Refer
2021-04-01 00:09:13
170
转载 简学-SSRF攻击
转载自:了解SSRF,这一篇就足够了SSRF(Server-side Request Forgery 服务端请求伪造)攻击原理:通过使用用户指定的URL,Web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意利用,可以利用存在缺陷的web服务器作为代理,攻击远程或本地服务器。攻击目标:有外部网络无法访问的内网。攻击来源:Web应用提供的从其他服务器(攻击者的服务器)获取数据的功能,且没有对目标地址做过滤与限制。。1、社交分享功能:获取超链接的标题等内容进行显示2、转码服务:通
2021-03-31 22:30:27
393
原创 简学-攻击特征搜集
攻击特征分析0x00 特征字符分析0x00.1 SQL 注入0x00.2 常见数据库类型判断0x00.3 恶意文件上传0x00.4 一句话木马(Webshell)0x00.5 命令执行/代码执行特征0x00.6 反弹 shell(Windows)0x00.7 Linux0x00.8 反弹 shell(Linux)0x00.9 高危POC攻击特征0x00.10 HTTP请求中高位特征值字段0x00.11 信息泄露类扫描0x00.12 常见各种绕过WAF的姿势0x01 访问频率分析0x01.1 SQL盲注0x0
2021-03-29 14:22:43
2200
原创 简学-常见日志分析
常见的日志查询方式Windows日志位置:`%SystemRoot%\System32\Winevt\logs\...`日志查询方式:Linux日志位置:-------------------------------shell 快捷命令查询日志方式:中间件Apache:IIS:Weblogic:Tomcat:Windows日志位置:%SystemRoot%\System32\Winevt\logs\...应用程序日志:%SystemRoot%\System32\Winevt\logs\Applic
2021-03-29 14:02:39
257
1
原创 简学-文件上传漏洞
文件上传漏洞0x00 文件上传漏洞的相关概念0x01 一句话木马的原理及利用0x02 中国菜刀的使用0x03 文件上传的绕过姿势JavaScript校验MIME类型校验:拓展名校验:解析漏洞文件头检测绕过0x04 文件上传漏洞的防御手段针对文件上传漏洞的学习。实验平台采用的是 bWAPP0x00 文件上传漏洞的相关概念文件上传功能:是大部分 WEB 应用必被的功能,网站允许用户自行上传头像、一些社交类网站允许用户上传照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图
2021-03-22 19:26:07
232
1
原创 简学-CobaltStrike 的使用(三)
CobaltStrike 的使用(三)进行网站克隆对钓鱼网页的链接进行伪装学习使用 CS 进行一次钓鱼攻击。本次实验环境:攻击机 kali 10.1.1.100靶机 win7 10.1.1.200靶机 win7 上搭建有 dvwa 环境实验前提:靶机上线,即 CobaltStrike 的使用(一)打开靶机的控制台 shell 窗口进行网站克隆通过 Attacks->web driver by->clone site,输入要克隆的网址,在端口选择上默认是80
2021-03-14 22:54:35
246
原创 简学-CobaltStrike 的使用(二)
Cobalt Strike 的使用(二)0x00 尝试使用外部拓展 ElevateKit0x01 Spawn 功能第一步,创建朋友的 CS服务器与客户端第二步,是两台 CS 客户端产生联系第三步,在 (一)中我们是用了 CS 工具自带的 exp 进行提权。这次,我们尝试使用外部 exp 进行提权。0x00 尝试使用外部拓展 ElevateKit首先将 ElevateKit 下载并解压。随后,同 CobaltStrike 的使用(一) 中步骤一样,直到目标靶机在 cs 中上线。选中目标靶
2021-03-14 20:25:22
437
原创 简学-CobaltStrike 的使用(一)
Cobalt Strike 的使用(一)0x00 实验环境0x01 安装并运行 Cobalt Strike0x02 监听目标机并选择攻击途径0x03 通过 Cobalt Strike 生成攻击脚本拿到目标的shell0x04 查看日志输出报告本文是对 Cobalt Strike 进行初步认识与使用的简单总结,并完成了一次从启动服务端到拿到shell生成渗透测试报告的测试实验,边使用边学习。还有很多不足,请见谅。Cobalt Strike的相关信息:Cobalt Strike是一款渗透测试神器,
2021-03-11 21:54:48
785
原创 简学-XSS 攻击
XSS 攻击0x00 XSS 的相关概念0x00.1 XSS 的分类反射型 XSS:存储型 XSSDOM型XSS0x01 XSS 基本payloadXSS 常见攻击手段针对 XSS 攻击的学习与笔记。推荐一个免费的练习靶场:0x00 XSS 的相关概念跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时
2021-03-10 22:51:24
139
转载 Linux 安装 MySQL5.7
前言在网上找到的这篇 linux 安装 Mysql5.7,亲测有效。特此搬运过来,以便日后再用。我安装的是 mysql 5.7.33,虚拟机系统是 kali linux。实际上按着这个教程我装了3遍,第一次是之前的mysql没删干净;第二次是手动输入导致初始化出错了。所以真心 建议命令尽量全部复制粘贴执行!!!期间如果安装错误,或由于之前的 mysql 未删除干净导致服务启动不了,建议先删除干净mysql的文件,然后按照步骤重新安装!一、彻底删除 mysql(如果之前每安装过mysql可直
2021-03-07 15:16:59
623
2
原创 简学-HTTP协议
简学 HTTP 协议0x01 HTTP 协议的相关概念0x01.1 HTTP 协议0x01.2 网页请求的基本过程0x02 HTTP 协议分析0x02.1 HTTP 请求报文HTTP 请求报文-请求行HTTP 请求报文-消息报头0x02.2 HTTP 响应报文HTTP 响应报文-状态行HTTP 请求报文-消息报头算是对 HTTP 协议的一次的复习记录。0x01 HTTP 协议的相关概念0x01.1 HTTP 协议HTTP 是 Hyper Text Transfer Protocel (超文
2021-03-06 20:32:43
252
原创 当Docker运行碰上“连接被重置”
Docker运行之“连接被重置”0x00 前言(跳过)0x01 正文0x01.1 查看 docker 开放的端口0x01.2 修改本地映射的 docker 端口0x02 相关命令的参数0x02.1 docker run 的 OPTIONS0x02.2 ss 常用 OPTIONS0x00 前言(跳过)事件的起因是我在安装测试环境镜像之后,去访问页面,发现无论我怎么尝试,总是提示我 连接已经被重置,虽然只是一个端口映射问题,但第一次遇见这种情况,依旧浪费了很多时间去搜索各种文章才决绝,特在此记录。
2021-03-05 18:10:12
5796
1
原创 简学-Sqlmap(读取server文件)
简学-Sqlmap0x00 前言0x01 查看当前数据库管理用户及相关权限0x02 从服务器端读取文件到本地0x03 将本地文件传输到服务器上0x04 Sqlmap 获取可执行 shell0x00 前言今天学习了一些 sqlmap 对数据库文件进行操作的相关参数,并做此总结。本次实验环境是 sqli-labs,经典的练习注入测试平台,相关的实验台的搭建的方法也是网上随处可见的。学习所用系统环境为:kali Linux,自带了许多安全工具的 Linux 系统。0x01 查看当前数据库管理
2021-03-01 11:19:35
2069
原创 简学-Sqlmap (User-Agert的隐蔽与利用)
简学-Sqlmap0x00 前言0x01 测试环境0x02 测试工具在 User-Agent 的隐蔽0x02 Sqlmap 利用 User-Agent 进行注入0x00 前言众所周知,sqlmap是一个开放源代码渗透测试工具,它可以自动检测和利用SQL注入漏洞并接管数据库服务器的过程。但当我们利用 sqlmap 去进行渗透的时候难免会在服务器端留下痕迹,其中在头部报文中的User-Agent字段就会显示出事情使用痕迹。下面我将通过 bWAPP 这个平台学习利用 sqlmap 实现关于User-Ag
2021-02-28 16:22:19
1138
原创 kali Linux 安装搜狗输入法
kali Linux 2020.4 安装搜狗输入法这个方法应该也适用其他版本,因为我找的资料和我的版本和界面都不一样。由于需要安装的相关依赖我都已经安装过了,所以就不上图了,按着顺序执行就可以。更新 Linux 的 apt 源;首先安装 fcitx (小企鹅输入法,是用于Linux的输入法容器),一路默认 yes 就行,我这里已经安装过了。sudo apt install fcitx安装 fcitx 的相关依赖sudo apt install fcitx-libs-qt0在 k
2021-02-27 22:29:10
418
原创 nmap 参数使用手册
Nmap 参数手册nmap 使用格式:端口可能的状态主机发现扫描类型指定端口和扫描顺序服务版本识别脚本扫描OS识别其他选项下列内容均摘自:Nmap中文手册nmap 使用格式:nmap [扫描类型] [扫描参数] [hosts 地址与范围]端口可能的状态Open (开放的)意味着目标机器上的应用程序正在该端口监听连接 / 报文。filtered (被过滤的) 意味着防火墙,过滤器或者其它网络障碍阻止了该端口被访问,Nmap 无法得知 它是open
2021-02-27 21:04:56
298
转载 Sqlmap中文手册
Sqlmap中文手册零、前言一、Sqlmap是什么二、安装Sqlmap三、输出级别(Output verbosity)四、指定目标1.直接连接数据库2.指定目标URL3.从Burp或WebScarab的代理日志中解析目标4.从站点地图文件中解析目标5.从文本文件中解析目标6.从文件载入HTTP请求7.将Google搜索结果作为攻击目标8.从配置文件中载入攻击目标五、请求1.HTTP方法2.POST数据3.指定分隔符4.cookie5.User-Agent6.Host7.Referer8.额外的HTTP头9.
2021-02-27 17:21:54
1592
转载 OWASP top10漏洞原理及防御(2017版官方)
文章目录一、OWASP top 10简介二、OWASP top 10详解A1:2017-注入A2:2017-失效的身份认证A3:2017-敏感数据泄露A4:2017-XML外部实体(XXE)A5:2017-失效的访问控制A6:2017-安全配置错误A7:2017-跨站脚本(XSS)A8:2017-不安全的反序列化A9:2017-使用含有已知漏洞的组件A10:2017-不足的日志记录和监控本文转载出处在文末表明,同时附上网上OWASP TOP 10的官方电子书 pdf 地址:OWASP Top 10 -
2021-02-26 16:14:50
5498
转载 简学-XXE攻击从基础到实施
简学-XXE攻击前言XML 基础知识XML 文档的构建模块DTD (文档类型定义)DTD 实体XXE的攻击与危害(XML External Entity)如何构建外部实体注入外部实体支持的协议有哪些?XXE 攻击产生的危害如何防御 XXE 攻击前言在学习 OWASP TOP 10 时,Xml外部拓展(XML External Entity(XXE))位于榜单第4名,因此上网搜索了想管的 XXE 原理、攻击手段、危害即防御手段等内容来学习,以下内容均来源于转载并做重新排版方便查看学习,转载地址在结尾放
2021-02-26 14:21:51
330
原创 Ubuntu 修改mysql@root密码以及实现远程连接访问
Ubuntu 修改mysql@root密码以及实现远程连接访问序言(跳过)Ubuntu 修改mysql的root用户默认密码使用 win10 远程访问 mysql修改 mysql 用户的访问权限配置防火墙序言(跳过)今天想着测试自己的 win10 远程访问虚拟机的 mysql,但当输入密码是人傻了,回想了一下之前在 Ubuntu 上安装 mysql 时好像并没有要求设置 root 密码,因此在网上寻找相关信息,完成修改后作此记录。Ubuntu 修改mysql的root用户默认密码找到 mys
2021-02-21 13:22:00
1045
2
原创 简学-SQL注入(GET型与POST型)
简学SQL注入0x01 SQL注入原理0x01.1 SQL注入发生的原因0x01.2 SQL注入会造成的危害0x02 GET型注入漏洞。0x02.1 对网站进行 SQL注入测试时,首先需要我们找到注入点0x02.2 尝试`UNION`注入是否生效。0x02.3 测试字段的数量成功-通过回显结果替换其中的选项-获去数据库的详细信息0x02.4 成功获取数据库表-发现users表-进行users表结构信息获取0x02.5 根据回显结果替换字段,获取字段中的数据三级目录0x01 SQL注入原理什么是SQL
2021-02-14 14:48:58
3235
1
原创 当 Ubuntu 18 遇上网络连接-未托管
Ubuntu 之网络连接-未托管前言:(直接跳过)正文:(可以跳过)上操作:遇到的问题前言:(直接跳过)本来今天高高兴兴,打开 VMware -> Ubuntu 配置好桥接模式,配置好静态地址,重启网络服务后连接上网络,可以正常的百度了。结果 reboot 了一下,直接给我网络整没了,显示如下:我直接好家伙,因为前一面还可以连接,后一秒重启后就不行了,各种网上搜,最后找到了一条可行方法,特此分享。正文:(可以跳过)如果选择的是桥接模式还没有配置网络,可以去看一下我的这篇博客:Li
2021-02-10 22:29:18
335
原创 简学-SQL注入(报错注入与堆叠注入)
简学SQL注入0x09 SQL注入之报错注入0x09.1 报错注入的原理0x09.2 报错注入常见的函数0x09 SQL注入之报错注入一种 SQL 注入的类型,用于 SQL 语句报错的语法,用于注入无回显,但会提示报错信息的情况。返回的错误信息,即攻击者需要的信息。0x09.1 报错注入的原理MySQL 报错注入主要利用了 MySQL 的一些逻辑漏洞,如 BigInt 大整型数溢出、不同函数调用漏洞等,因此根据逻辑特点,可以将报错注入分为以下几点:BigInt 等数据类型溢出;
2021-02-10 20:43:44
381
原创 简学-SQL注入(时间盲注)
简学SQL注入0x06 SQL注入的主要类型(从漏洞类型的角度)0x06 SQL注入的主要类型(从漏洞类型的角度)SQL注入主要分为以下几种类型:1、Boolean-based blind SQL injection(布尔型注入)http://test.com/view?id=1 and substring(version,1,1)=5如果服务端 Mysql 版本是5.X的话,那么页面返回的内容就会和正常的请求一样。2、UNION query SQL injection(可联合查
2021-02-09 19:11:06
937
原创 kalilinux 配置网络连接(桥接模式)
kalilinux 配置网络连接(桥接模式)先关闭 kali 虚拟机打开 VMware 的虚拟网络编辑器设置桥接模式连接的网卡点击更改设置后出现如下界面并设置桥接模式对接的网卡编辑虚拟机设置,修改虚拟机的网络连接方式设置完成后应用并确定,然后开启 kali 虚拟机。接下来设置虚拟的的静态IP地址。先查看本机的 IP 地址打开终端输入 gedit /etc/network/interfaces 修改网络配置文件,IP 地址要与本机处于同一网段,子网掩码和网关与本机一样auto
2021-02-06 19:32:12
4681
1
原创 SpringBoot 配置上传图片
springBoot 配置上传图片springBoot 上传图片涉及到虚拟路径与本地路径的配置:springBoot 的配置文件: application.properties# 本都路径file.upload.path=F://JAVA学习/workspace/SpringBoot/images/ # 虚拟路径(映射路径)file.relative=/images/**配置映射路径类 WebAppConfiguration.java ,通过实现 WebMvcConfigur
2020-10-22 17:22:16
828
1
原创 Sql命令 JOIN关键字
JOIN…ON 连接方式: ON表示两表的关联条件左连接(LEFT JOIN):查询时以左边为源表与右表进行匹配查询,左包含即左表有但右表没有的数据。select t1.stuName,score from t_stu t1 LEFT JOIN t_score t2 ON t1.stuId=t2.stuId 右链接 (RIGHT JOIN):查询时以右表为源表与左表进行匹配查询,右包含。select t1.stuName,score from t_stu t1 RIGHT JOIN
2020-10-22 16:05:40
460
1
原创 学习JAVA设计模式(一)
话不多说,直接切入正题!设计模式设计模式的类型 :设计模式的六大原则 :单例模式 (创建型模式):简单工厂模式 (创建型模式):抽象工厂模式 (创建型模式):观察者模式 (行为型模式):参考链接设计模式的类型 :创建型模式 :工厂模式、抽象工厂模式、单例模式、建造者模式、原型模式结构型模式 :适配器模式、桥接模式、过滤器模式、组合模式、装饰器模式、外观模式、享元模式、代理模式行为型模式 :责任链模式、命令模式、解释器模式、迭代器模式、中介者模式、备忘录模式、观察者模式、状态模
2020-10-14 22:00:30
126
原创 关于SQL性能优化及注意事项
sql优化mysql的性能分析/优化工具:mysql show profiles :mysql 性能分析工具Explain :查看 SQL 的执行计划。计划内容:id :选择标识符select_type:表示查询的类型table:输出结果集的表partitions:匹配的分区type :表示表的连接类型常用的类型包括:ALL、index、range、ref、eq_ref、const、system、NULL( 从左到右,性能从差到好 )ALL:Full Table Scan,My
2020-10-13 12:45:45
176
原创 简单理解REST风格
REST风格REST 是一种软件架构风格,其本身是围绕HTTP的URI资源进行约束。URI 中不能有动词,因为 URI 本身是资源的表示,所以网址中不能有动词,只能由名词,动词由 HTTP 协议中的操作:GET、POSE、PUT、DELETE 四种方法表示。如果有自定以的状态码,由于 REST 本身是根据 HTTP 协议进行规范的,所以尽量使用 HTTP 协议的状态码。200:OK 请求响应成功,服务器返回数据,该操作是幂等的201:CREATED 新建或者修改数据成功204:NOT CON
2020-10-12 22:53:47
1103
CobaltStrike4.0.zip
2021-03-11
校园图书馆系统.zip
2020-05-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人