- 博客(17)
- 收藏
- 关注
RSS订阅原创 http协议get post请求的区别
GET在浏览器回退时是无害的,而POST会再次提交请求。GET产生的URL地址可以被Bookmark,而POST不可以。GET请求会被浏览器主动cache,而POST不会,除非手动设置。GET请求只能进行url编码,而POST支持多种编码方式。GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留。GET请求在URL中传送的参数是有长度限制的,而POST么有。对参数...
2020-04-16 15:31:47
165
原创 kali下载安装 tools工具安装 及 更新源
tools工具安装1.创建vmtools文件夹,用于存放安装文件mkdir vmtools //创建文件夹2. 2.2 切换到media/cdrom0 目录查看安装文件名并复制cd /media/cdrom0 //切换目录3.在虚拟机的左上角先选择“安装 Vmtools”选项,这时安装文件会自动存入该目录4.cp 命令将安装文件复制到刚刚创建的vmtools目录中...
2020-04-08 17:29:13
1584
1
原创 0708远程桌面代码执行漏洞复现
Exp攻击工具准备1.使用如下命令一键安装metasploit-framework (msf)curl https://raw.githubusercontent.com/rapid7/metasploit-omnibus/master/config/templates/metasploit-framework-wrappers/msfupdate.erb > msfinstall...
2019-09-14 21:34:01
314
原创 UEditor编辑器任意文件上传
前言:UEditor编辑器远程下载功能漏洞导致任意文件上传复现:1.自己构造一个html,因为不是上传漏洞所以enctype 不需要指定为multipart/form-data , 之前见到有poc指定了这个值。完整的poc如下<form action="http://47.98.50.253:8001/net/controller.ashx?action=catchimage"en...
2019-09-10 21:57:36
2257
原创 访问一个网页的全过程
前言访问目标地址有两种方式:①使用目标IP地址访问。由于IP地址是一堆数字不方便记忆,于是有了域名这种字符型标识。②使用域名访问。域名解析就是域名到IP地址的转换过程,域名的解析工作由DNS服务器完成。比如说访问 baidu.com1.如果是域名,首先将域名解析成ip计算机首先查找本地的缓存和host文件,如果 有web服务器的ip地址,则直接访问,如果没有,则查找本地所配置的dns...
2019-09-10 19:54:22
515
原创 正则表达式
?表示前面字符出现0次或1次 相当于 {0,1}+ 表示前面字符出现1次或多次 相当于 {1,}* 表示前面字符出现0次或多次 相当于 {0,}
2019-09-04 22:36:19
93
原创 token(-hash-)和 tomcat 爆破
burp拦截,找到-hash-值,选择到暴力破解模式 ,选择鱼叉式爆破进入payload ,token值要选择Recursive grep进入options 进入以下操作Reque Engine,线程设置为1.Redirections,选第二个选项接着在Grep—Extract ADD选中token值,点击okstart attack!...
2019-08-21 20:20:20
191
原创 kali突然没网
执行leafpad /etc/network/interfaces加上最后两行内容保存退出,然后执行etc/init.d/networking restart 最后重启网络,使刚才的配置生效。
2019-08-17 11:26:31
728
原创 kali 开启ssh服务
一、配置SSH参数修改sshd_config文件,命令为:vi /etc/ssh/sshd_config将#PasswordAuthentication no的注释去掉,并且将NO修改为YES //kali中默认是yes或直接新建PasswordAuthentication no将PermitRootLogin without-password修改为PermitRootLo...
2019-08-13 22:54:36
277
原创 linux常用命令
打包-c 多个文件或目录同时打包-f 指定包的文件名tar -cvf test.tar(打包后的文件名) 源文件或目录解打包tar -xvf test.tar (解打包到当前目录) tar -xvf test.tar -C /tmp (解打包到/tep/目录下)tar -tvf test.tar (仅显示解打包的内容)打包压缩tar -zc...
2019-08-06 23:29:53
97
原创 HTTP常用请求方式
GETGET方法请求一个指定资源的表示形式. 使用GET的请求应该只被用于获取数据.HEADHEAD方法请求一个与GET请求的响应相同的响应,但没有响应体.POSTPOST方法用于将实体提交到指定的资源,通常导致在服务器上的状态变化或副作用.PUTPUT方法用请求有效载荷替换目标资源的所有当前表示。DELETEDELETE方法删除指定的资源。CONNECTCONNECT方法建...
2019-07-29 23:27:10
233
原创 史上最全服务器返回的常见HTTP状态码-----200 302 400 500状态码
成功响应节200 OK请求成功。成功的含义取决于HTTP方法:GET:资源已被提取并在消息正文中传输。HEAD:实体标头位于消息正文中。POST:描述动作结果的资源在消息体中传输。TRACE:消息正文包含服务器收到的请求消息201 Created该请求已成功,并因此创建了一个新的资源。这通常是在POST请求,或是某些PUT请求之后返回的响应。202 Accepted请求已经接收...
2019-07-29 21:51:00
2853
原创 最全信息安全白帽子黑客的常用命令
poc:验证漏洞是否存在代码exp:漏洞利用攻击webshell:web下的shell(web后门)shell:与系统交互的工具通道反向:受害者到攻击者正向:攻击者到受害者菜刀:一句话:payload:getshell:获取shell权限的方式肉鸡:即被控制的电脑,也叫傀儡机,常被用于发动ddos攻击。 抓鸡:即设法控制电脑,将其沦为肉鸡。 拿站:即...
2019-07-26 17:27:16
827
原创 SQLMap最最最详细介绍,从安装到使用----小白必看----
SQLmap安装非常简单,SQLmap的安装需要python环境(不支持Python3),官网下载python2.7.3,一键安装,安装完成后,右键我的电脑–属性–高级系统设置–环境变量–系统变量下找到Path–编辑 在最后加上python的路径。然后在SQLmap官网下载最新版,下载到python的目录下,并把SQLmap的目录加到环境变量中。为了方便使用,可以在桌面右键快捷方式,输入c...
2019-07-24 21:35:20
876
2
原创 Nmap详解及常用命令
1.主机探测即主机发现(Host Discovery),用于发现目标主机是否在线(Alive,处于开启状态)。主机发现发现的原理与Ping命令类似,发送探测包到目标主机,如果收到回复,那么说明目标主机是开启的。Nmap用于主机发现的一些用法:-sL: List Scan (列表扫描),仅将指定的目标的IP列举出来,不进行主机发现。 -sn: Ping Scan (Ping扫描),只...
2019-07-24 19:47:10
2031
原创 用php读出文档内容MD5加密并导入另一个文档
两种方法:1.<?php/*1、打开要读取的文本2、输出要读取的内容3、创建一个文件 */$filename="top10.txt";$myfile=fopen($filename, "r");$str="qwertyuio123456789";$newfilename=substr(str_shuffle($str),0,5);$newmyfile=fopen($new...
2019-07-20 10:59:17
616
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人