- 博客(14)
- 收藏
- 关注
RSS订阅原创 虚拟Python环境搭建
虚拟Python环境搭建简介在python开发中,A项目依赖的是某一个版本,B项目需要依赖的是另一个版本,这样就会造成依赖冲突。而virtualenv就是解决这种情况的,利用virtualenv可以给A、B项目创建不同的环境,在不同的环境中安装不同的依赖,不环境之间相互不干扰。操作过程1. 安装virtualenvpip3 install virtualenv2. 创建虚拟python环境Windowsvirtualenv -p D:\python\env\FirstEnv\Scripts\
2021-12-28 19:21:59
271
原创 自建CA签证书签发https证书
1.简介自建CA,利自建CA签发https证书。(不用购买证书、使用https传输、解决信任问题,可以在内网中使用)openssl可以做到,但是命令太繁琐,可以使用工具进行操作。 将证书封装exe文件,双击自动静默安装根CA证书2.创建CA以管理员的身份运行程序CA创建完成3.创建web服务器证书利用上一步的CA签发证书,以管理员的身份运行程序。4.服务器配置根据导出来的证书,在web服务器上进行配置。例在Nginx上配置*.crt、*.key文件,crt为证书的一种格
2021-08-06 21:06:45
1222
原创 Windows下安装pyinstaller报错解决
问题描述在Windows下离线安装pyinstaller,执行pyinstaller时一直提示如下错误pkg_resources.DistributionNotFound: The 'future' distribution was not found and is required by pefile环境Python 3.5pyinstaller 3.6Windows过程使用...
2020-04-24 21:35:27
2321
原创 Burpsuite+Sqlmap批量扫描注入
主要思路使用burpsuite对网站进行分析,将proxy的requests记录到日志中。使用脚本过滤日志,得到去重后的目标主机。地址如下:https://github.com/tony1016/BurpLogFilter利用sqlmap对过滤后的目标主机进行扫描实现过程在burpsuite开启日志,将proxy中的requests记录到日志中。利用burplogfilter....
2020-03-31 21:51:13
2819
原创 IOS安装burpsuite证书之后不能抓到数据包
IOS安装burpsuite证书之后不能抓到数据包解决方法在ios端安装burpsuite证书设置->通用->关于本机->证书信任设置,将burpsuite的证书开启即可
2020-03-08 17:26:19
1511
原创 使用golang发送邮件,报错“x509: certificate signed by unknown authority”
问题描述使用golang发送邮件,报错“x509: certificate signed by unknown authority”,这是由于客户端默认要对服务端传过来的数字证书进行校验,关闭即可。解决方法修改net/smtp包中源代码,使客户端不对证书进行校验。将代码config := &tls.Config{ServerName: c.serverName}改为conf...
2019-12-10 16:18:48
5388
原创 “百度杯”CTF比赛 九月场 SQLi 解题思路
题目简介题目名称:SQLi题目内容:后台有获取flag的线索解题思路打开地址使用burp抓包发现“l0gin.php?id=1”。打开“l0gin.php?id=1”地址使用1’ and ‘1’=‘1(成功)和1’ and ‘1’='2(不成功),说明此处存在sql注入。测试中发现后台过滤了逗号,在这里使用from for代替逗号。开始注入猜测数据库名称猜测数据库名...
2019-10-15 18:36:29
1135
原创 Firefox浏览器安装Mitmproxy证书
背景使用Firefox浏览器和mitmproxy代理抓取https数据包,Firefox(Windows系统下)、mitmproxy代理服务器(Python语言,Linux系统下)已经安装好。接下来需要在Firefox浏览器中安装mitmproxy的证书。在网上找了很多教程,很多都是那种模糊不清的。经过自己不断采坑填坑,总结出了一种安装证书的方法。方法在mitmproxy代理服务器中启动服...
2019-09-29 18:26:23
1543
1
原创 bWAPP中利用反射型xss获取cookie
实验环境介绍靶机:bWAPPbug类型:XSS - Reflected (GET)难度级别:low过程:注:部分浏览器默认开启了XSS防御,关闭后才能实验成功。测试靶机(图中的web server)是否存在XSS攻击。URL地址:“http://192.168.248.174/dvwa/bWAPP/xss_get.php”输入js代码<script>alert(1...
2019-09-10 14:46:57
538
原创 sql注入dvwa(low)
靶机:dvwabug:SQL Injection难度等级:low**分析**在输入框中分别输入“1”、“1’ and 1=1#”,“1’ and 1=1#”三条命令。发现第一条和第二条能执行成功,第三条不能执行成功,这说明这个地方存在注入点。(直接上sqlmap试试)sqlmap爆破利用burpsuite抓取数据包,获取requests的header,存入txt文本中。...
2019-09-02 19:22:25
259
原创 SQL Injection-Blind-Time-Based(bWAPP)注入思路
靶机:bWAPPbug:SQL Injection-Blind-Time-Based难度等级:low分析无论输入什么字符串,都会返回“The result will be sent by e-mail...”。因此首先要确定该处是否存在注入。因此这里可以参考基于时间的注入方法。本文使用主要使用if(exp1,exp2,exp3)及sleep函数,根据网络的延迟去判断是否发生注入。...
2019-08-23 13:20:31
1348
原创 SQL Injection - Blind - Boolean-Based注入思路
靶机:bWAPPbug:SQL Injection - Blind - Boolean-Based难度等级:low这是基于布尔型的盲注。首先使用“Man of Steel”、“Man of Steel' and 1=1#”测试发现,返回的信息都为“The movie exists in our database!”,当输入“Man of Steel' and 1=2#”,返回 “The...
2019-08-21 13:15:20
3711
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人