自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

jiangyu0_0的博客

  • 博客(26)
  • 收藏
  • 关注
排序:
按最后发布时间
按访问量
RSS订阅

原创 THM学习笔记—Bounty Hacker

THM学习笔记—Bounty Hacker

2024-03-20 14:54:34 332

原创 THM学习笔记—Simple CTF

THM学习笔记—Simple CTF

2024-03-16 21:34:29 497

原创 THM学习笔记—RootMe

THM学习笔记—RootMe

2024-03-16 19:32:12 444 1

原创 Linux提权—服务漏洞,以MySQL-UDF提权为例

Linux提权—服务漏洞,以MySQL-UDF提权为例

2024-02-26 19:46:08 341 1

原创 THM学习笔记——Basic Pentesting

复制id_rsa到本机并破解密码(名字随便起)以上命令是为了让linpeas在靶机上运行。

2024-02-20 21:29:42 486

原创 THM学习笔记——枚举

枚举

2024-02-05 20:00:52 1034

原创 THM学习笔记——Pickle Rick

发现登录框,猜测Wubbalubbadubdub为密码,结合在源代码里找到的用户名,登录。继续打开其他文件找寻有用信息。在系统文件中寻找其他成分。发现目标信息 rick。使用dirsearch。

2024-01-30 18:15:47 494 1

原创 THM学习笔记——Nmap

Nmap是一款用于网络发现和安全审计的网络安全工具

2024-01-29 12:26:25 870

原创 THM学习笔记——john

John the Ripper是目前最好的哈希破解工具之一

2024-01-26 16:34:36 1075 1

原创 THM学习笔记——网络工具

互联网由许多个不同的服务器和端点组成,它们都相互联网。这意味着,为了获得你想要的内容,你首先需要通过一堆其他的服务器。Traceroute允许你查看计算机和你请求的资源之间的每个中间步骤。Whois 本质上允许你查询域名注册给谁。但是,在其他地方,你可能会从 Whois 搜索中获得大量信息。Dig 允许我们手动查询我们选择的递归 DNS 服务器以获取有关域的信息。当我们想要测试是否可以连接到远程资源时,会使用 ping 命令。这里只是简单的介绍了最基础的用法,更详细的请大家自行搜索。

2024-01-25 20:58:43 482

原创 THM学习笔记——OSI模型和TCP/IP模型

使用TCP时,传输是基于连接的,这意味着建立并保持了计算机之间的连接,以便在请求的整个过程中进行通信。随着数据在模型的每一层传递下去,都会添加有关特定层的细节的信息到传输的起始位置。请注意,在整个过程中,封装的数据在不同步骤中被赋予不同的名称。当数据链路层接收数据时,它还扮演着重要的角色,因为它检查接收到的信息,以确保在传输过程中未损坏,而这在数据被传输的第1层:物理层时可能发生。选择了协议后,传输层将传输分解成一小块一小块的部分(在TCP中称为段,在UDP中称为数据报),这使得成功传输消息变得更容易。

2024-01-25 17:01:48 1084

原创 THM学习笔记——SQL注入

SQL注入,通常称为SQLi,是对 Web 应用程序数据库服务器的攻击,导致执行恶意查询。

2024-01-25 16:16:03 1244

原创 记第一次安装Metasploit和viper

记第一次安装Metasploit和viper

2024-01-22 19:55:09 877

原创 THM——命令注入

命令注入通常也被称为“远程代码执行”(RCE)

2024-01-21 18:10:57 921 1

原创 THM学习笔记——SSRF

SSRF代表Server-Side Request Forgery(服务器端请求伪造)。允许恶意用户使Web服务器向攻击者选择的资源发出附加或编辑的HTTP请求。

2024-01-21 16:19:54 864 1

原创 ctfshow做题笔记

开发注释未及时删除查看页面源代码。

2024-01-19 16:12:05 752 1

原创 THM学习笔记——文件包含

文件包含是一种常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行代码的路径时,文件包含漏洞会导致攻击者任意控制运行时执行的文件。文件包含漏洞分为本地文件包含 (LFI) 和远程文件包含 (RFI)两种类型。本地文件包含是通过浏览器包含web服务器上的文件,这种漏洞是因为浏览器包含文件时没有进行严格的过滤允许遍历目录的字符注入浏览器并执行。远程文件包含就是允许攻击者包含一个远程的文件,一般是在远程服务器上预先设置好的脚本。

2024-01-18 11:07:31 933

原创 THM学习笔记——IDOR

IDOR是不安全直接对象引用的缩写,是一种访问控制漏洞。这种漏洞可能发生在Web服务器接收用户提供的输入以检索对象(文件、数据、文档)时,对输入数据过于信任且未在服务器端进行验证以确认请求的对象是否属于请求它的用户。想象一下你刚刚注册了一个在线服务,你想要更改个人资料。你点击的链接是好奇心让你尝试将user_id的值改为1000(你发现你能够看到另一个用户的信息。这就是一个IDOR漏洞!

2024-01-18 10:35:56 415

原创 THM学习笔记——网络黑客简介(1)

有时身份验证过程包含逻辑缺陷。逻辑缺陷是指应用程序的典型逻辑路径被黑客绕过、规避或操纵的情况。逻辑缺陷可能存在于网站的任何区域。

2024-01-17 23:00:58 810

原创 THM学习笔记——网络黑客简介

自动发现是使用工具而不是手动发现内容的过程。这个过程是自动的,因为它通常包含对 web 服务器的数百、数千甚至数百万次请求。这些请求检查网站上的文件或目录是否存在,使我们能够访问以前不知道存在的资源。这个过程通过使用一个称为 wordlists 的资源变得可能。Wordlists 只是包含常用单词的长列表的文本文件;它们可以涵盖许多不同的用例。

2024-01-17 22:05:40 727

原创 THM学习笔记—补充

当你请求一个网站时,你的计算机需要知道与之通信的服务器的IP地址;为此,它使用DNS。然后,你的计算机使用一组称为HTTP协议的特殊命令与Web服务器通信;然后,Web服务器返回HTML、JavaScript、CSS、图像等,你的浏览器使用这些内容正确格式化并显示给你。

2024-01-15 14:58:25 873 1

原创 THM学习笔记—网站如何运作

当您访问网站时,涉及到多个技术和组件,这些组件协同工作以呈现并提供您所看到的页面。

2024-01-15 14:13:27 848 1

原创 THM学习笔记—HTTP

HTTP是一个客户端(用户)和服务端(网站)之间请求和应答的标准

2024-01-12 21:15:34 936

原创 THM学习笔记--XSS

跨站脚本(Cross-site scripting)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

2024-01-01 11:55:04 878

原创 THM学习笔记——DNS

是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。

2023-12-23 22:34:29 328

原创 THM学习笔记——SMB

服务器信息块(SMB)是一个网络 文件共享 协议,它允许应用程序和 终端用户 从远端的 文件服务器 访问文件资源。

2023-12-19 23:06:29 896

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除