Insist_on_secure的博客

转载 企业生产环境做渗透测试应该注意什么？

作为一名安全工程师需要给出自己的建议，将风险降到最低！1.确定渗透测试的注意事项2.扫描前一定要备份数据库、备份代码3.禁止登陆扫描（否则你会哭死）4.降低扫描线程（避免把服务扫死）5.增删改一定要手工操作（扫描器会真的删你的数据）6.禁止脱库 跑数据 传 shell（避免测试人员留后门或者后门清理不彻底）7.如需测命令执行类漏洞需要执行命令的时候一定要执行 whoami 等无害命令8.不能进行 DDOS攻击9.扫描过程监控带宽是否因为扫描达到阈值而影响业务10.扫描过程监控服务进程是否

原创 docker搭建靶场pikachu

我已经搭建好靶场本人用的centos7，在安装好docker的情况下，直接使用以下命令安装pikachu：复制docker run --name piakchu -d -p 9002:80 area39/pikachu然后http://ip:9002访问即可

原创 扫描小技巧

阿里云服务器在扫描目录或者爆破口令的时候，如果线程多高，IP会容易被封。可以再找一台阿里云服务器做代理进行测试。

原创 Nessus提示API Disabled错误

刷新就好

转载 nessus教程

https://blog.csdn.net/m0_49605975/article/details/113836158?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163853072416780255248509%2522%252C%2522scm%2522%253A%252220140713.130102334…%2522%257D&request_id=163853072416780255248509&biz_id=0&

原创 kali安装dvwa

https://www.cnblogs.com/dnoir/p/10447481.html按照这个教程走，在http://127.0.0.1/DVWA-master/setup.php这步卡住，有空看看原因

转载 Burpsuite在各场景下的抓包技巧

https://www.bilibili.com/read/cv13223506?from=articleDetail&spm_id_from=333.976.b_726561645265636f6d6d656e64496e666f.2

原创 企业微信打不开文档

原创 关于google更新

转载 kali 不能复制粘贴解决方法（绝对实用）

https://www.codeprj.com/blog/9ee4341.html不用去用virtualbox安装增强功能

原创 BurpSuite如何在谷歌浏览器下配置代理

一：Google浏览器配置代理右上角点开，找【设置】在这里插入图片描述进入设置面板后找左侧标题栏，看到有一个【高级】，默认是折叠的，点开后找【系统】在这里插入图片描述找到【打开您计算机的代理设置】在这里插入图片描述进入相关代理设置后进行配置，然后保存在这里插入图片描述用谷歌浏览器访问http://burp，如果出现内容则说明配置成功。在这里插入图片描述...

转载 正确的浏览器导入burpsuite证书

https://www.cnblogs.com/hackmang/p/12966508.html

原创 Win10下 Java环境变量配置

https://www.cnblogs.com/cnwutianhao/p/5487758.html参考这个链接，但里面有一处是错误正确是

转载 Docker参数 -i -t 的作用

Docker 参数 -i -t 的作用通常的解释是: -t让docker分配一个伪终端并绑定到容器的标准输入上, -i则让容器的标准输入保持打开.问题所以通常都是这样的: sudo docker run -it ubuntu 进入了命令交互界面但是如果不加呢? sudo docker run ubuntu 或sudo docker create ubuntu & sudo docker start ubuntu这样的话, docker容器无法启动。原因Docker中系统镜像的缺省命令是

原创 AWVS14和nessus工具分享

分享两个工具，一个是AWVS14的工具链接：https://pan.baidu.com/s/1llOiBhY2gLVbbIQUSf7rGQ提取码：6p0r一个nessus工具链接：https://pan.baidu.com/s/19l8PnM_oA_kUGF5yjUfAYw提取码：vwlp

原创 VirtualBox安装kali出现系统安装失败

然后再按照这个教程安装即可https://blog.csdn.net/JaydenWang5310/article/details/78104472

原创 如何绕过CDN寻找目标服务器的IP

原创 常见端口汇总以及攻击方向

原创 Ubuntu16.04安装Nessus教程

找到Nessus的破解版，链接如下，下载完毕。链接：https://pan.baidu.com/s/1wAIU1HuZF1RpqdunG8q9Yw 提取码：l25u接着在Xshell连接服务器进行启动然后拖Nessus的文件进入Xshell里面，再ls接着就开始安装dpkg -i Nessus-8.15.0-ubuntu1110_amd64.deb执行命令：sudo systemctl enable nessusd.service sudo 执行命令：sudo systemctl s

转载 红蓝对抗之域名搜集方法总结--原理 方法才是我们要学习的重点

红蓝对抗之域名搜集方法总结腾讯安全应急响应中心（TSRC）腾讯安全应急响应中心（TSRC）​已认证的官方帐号5 人赞同了该文章作者 ｜ 腾讯蓝军实习生jax、yhy、A1oe前言在历次HW、红蓝对抗、渗透测试项目中，外网的信息收集是至关重要的一个环节，外网打点信息收集全面了，可能会有四两拨千斤效果，直接突破外网边界进入内网。最近我们三人加入腾讯蓝军学习渗透技巧，导师让我们对域名资产收集方式做一次全面梳理研究。子域名是域名信息收集的一个重要部分，在防御措施严密情况下我们无法直接拿下主域名，那

原创 配置kali的apt

配置原因：kali自带的源氏国外，不方便我们快速更新软件包操作：点击终端 输入 vim /etc/apt/sources.list然后就修改，把7注释并新加插入阿里云的 kali 源：deb https://mirrors.aliyun.com/kali kali-rolling main non-free contrib deb-src https://mirrors.aliyun.com/kali kali-rolling main non-free contrib注：复制上面两行

原创 关于移动文件导致找不到文件夹的难受

在解压文件的时候，没有搞一个文件夹，然后文件安装完毕，才想起整理文件夹一个字乱建好文件之后就是清晰可见

原创 DHCP客户端获取IP地址的过程

dhclient -r eth0 ##清除一下ipdhclient eth0 ##使用dhcp自动获取ipip a ##查看ip补充相关命令行知识DHCP租约过程就是DHCP客户机动态获取IP地址的过程。分四步走1、客户机请求IP（客户机发DHCPdiscover广播包）2、server相应（服务器端发了DHCPOffer广播包）3、客户机选择IP(选择最快回应的广播包，然后发DHCPREQUEST广播包)4、server确定租约（server发送DHCPACK包（.

转载 kali忘记登陆密码解决方法

前头补充一点，你要打开虚拟机之后

原创 电脑能连上wifi却不能上网，吹一波360

电脑能连上wifi却不能上网，有按照网上说的那样，打开网络共享中心>>更改适配器设置然后点击属性，接着就发生意外但这是我很烦恼，此时一个360安全卫士然后可以了

原创 Web渗透--01天基础入门概念名词

域名什么是域名？ 域名可以让我们更加容易记忆，不用像古老方式通过ip地址访问网站的方式，宁愿记www.baidu.com也不愿意记180.101.49.12ip，我们是通过访问服务器的ip地址打开网站。我们可以尝试通过ping www.bilibili.com域名获取访问服务器的ip地址，就可以知道服务器的ip。域名一般是有从左到右，低级到高级的顺序。比如www(二级).bilibili(一级).com(顶级)。不过这些级别的域名却都是指向网站服务器的IP地址，...

HTTP协议学习笔记

HTTP协议又叫超文本传输协议，是HTTP的中文名字。HTTP状态码如下所示:1xx:信息响应类，表示接收到请求并且继续处理2xx:处理成功响应类，表示动作被成功接收，理解和接受。3xx:重定向响应式，为了完成指定的动作，必须接受进一步处理。4xx:客户端错误，客户请求包含语法错误或者是不能正确执行。5xx:服务端错误，服务器不能正确执行一个正确的请求。GET 请求获取Request-URI所标识的资源POST 在Request-URI所标识的资源后附加新的数...

原创 欲速则不达，不懂就问

期学习我们要切记两点：1、我们要什么就学什么，不要偏离跑道，很多知识等到你有迫切需求的时候，会迫使自己去学习；2、不要试图走捷径，一个星期的入门教程其实是给已经入门的人们去温故知新的，0基础学习者到入门的时间是3个月到半年方能做出作品。...

原创 HTTP应用：黑帽SEO之搜索引擎劫持

SEO即为搜索引擎优化，排名预告，网站流量就越多，利益也就大 黑帽SEO就是指通过作弊的sh

原创 从java配置环境到Burpsuite文件下载

首先先配置好java环境，

原创 截取HTTP请求-Burp Suite Proxy

前端JS验证是为了验证用户输入错误，服务器端验证是为了防止恶意攻击 Burp Suite工具箱及说明

原创 HTTP与HTTPS区别

HTTPS协议全称为Hyper Text Transfer Protocol over SecureSocket Layer，以安全wei'mu'di