- 博客(40)
- 收藏
- 关注
RSS订阅原创 ARP欺骗(大白话)
当PC1广播询问谁是PC2时,PC3(攻击方)就伪造出一个新的Mac地址(Mac3),并告诉PC1“我是PC2,我的Mac地址是Mac3,IP是IP3”,从而导致PC1无法与真正的PC2联系。首先查看arp表(有ip和mac的关系)广播请求,单播回复)
2023-08-30 16:57:38
158
原创 sql的自动注入
获取当前数据库名:--current-db:查询当前web使用的数据库名。--tables:查询指定库下的所有表名(需要先使用-D指定库名)--columns:查询指定表下所有字段(需要先使用-T指定表)-D:引用指定数据库(使用指定数据库需要参数-D指定数据库)·--cookie:附加cookie解决请求依赖登录问题。--dump:下载数据。·--batch:提示选项使用默认值。-C:引用指定字段名。·-u:扫描目标URL。
2023-03-28 14:43:47
188
原创 sql的手动注入
union select table_name,1 from information_schema.tables where table_schema=’库名’##获取users表中user_id,user,password,分为2列显示。#如何获取多个字段?#结果:直到不报语法错误,就确认了结果是几个字段。#解决user和password拼接在一起的问题。·获取数据库下所有的表。:获取user表中所有的用户名和密码。·获取表中所有的数据。(dvwa.users是表名)(dvwa.users是表名)
2023-03-28 14:42:01
261
原创 sql注释与注入流程
开始用sql-shell等工具登录并获取数据(远程登录获取数据库信息)说明:注释语句不会被执行,在sql注入中可以将查询条件注释掉。·收集项目信息(操作系统、数据库类型、web服务器类型)·查找注入点(单引号,注释,转义字符等实现)·注入sql语句(union实现)多行注释:/*多行注释*/·破解数据库管理员账号密码。
2023-03-28 14:38:41
122
原创 使用sqlmap的一般解题思路
1、查看当前表:python sqlmap.py -u URL --dbs2、查看表名: python sqlmap.py -u URL -D 数据库名(第一步查出)--tables3、获取表的子段: python sqlmap.py -u URL -D 数据库名 -T 表名(第二步查出)--columns4、查看dump的字段: python sqlmap.py -u URL -D 数据库名 -T 表名 -C 字段内容(第三步查出)--dump实例。
2023-03-21 21:39:40
160
原创 基本的SQL库操作语句
:select 字段 from users where。条件查询(select字段from 表where 条件;):select 字段 from users where user=):select 字段 from users where。·查看创建表sql语句:show create table users(表名)\G。注意:两条sql语句查询字段(列)数必须相同,如果不相同,可以使用数字或空格代替列。查询所有字段:select * from users;·查看当前默认用户:select user();
2023-03-17 18:46:27
58
原创 SQL注入环境介绍
作用:一个Linux虚拟机系统,kali包含数百种工具,可用于各种信息安全任务,例如渗透测试,安全研究。·作用:一款虚拟机软件,可以使用软件在物理机上安装多个虚拟操作系统(Linux、windows)作用:一个Linux虚拟机系统,在这个虚拟机中安装了一些已知漏洞的web应用程序,方便学习。·用户名:root,密码:owaspbwa。·靶机与渗透机运行依赖VMware软件。·用户名:root,密码:toor。·学习sql注入的项目环境。·安装了很多漏洞应用程序。·安装了许多攻击软件。
2023-03-17 18:43:16
88
原创 ubuntu中下载qt
在官网中下载qt的安装包(我下载的是qt-opensource-linux-x64-5.9.8.run):http://download.qt.io/archive/qt/
2023-03-14 22:25:43
2986
原创 ubuntu中安装libpcap
第一步:下载libpcap的网址(在Ubuntu中的火狐中就可以下载,下载的是一个安装包,我下载的版本是libpcap.1.10.3):http://www.tcpdump.org/第二步:下载好后对安装包进行解压,tar zxvf file,tar,gz。第六步:输入命令sudo make install 安装完成。第五步:输入命令sudo make继续下载。第三步:进入libpcap的目录,再输入./configure。第四步:下载 byacc。
2023-03-14 22:06:28
2889
1
原创 介绍SQL注入
输入:(发现注入点以后)自动尝试个各种组合语法。·输入:sql常用注入组合语法,进行注入。·攻击者利用拼接SQL语句方式获取数据库的敏感信息。·服务器未对提交的参数进行过滤或过滤不足。·获取web网站数据库(数据库泄露)·自动(工具sqlmap等)·攻击者在页面提交恶意字符。·用户数据被非法买卖。·危害web应用安全。
2023-03-05 16:36:40
46
原创 java的内部类
内部类就是在一个类的内部再定义一个类,比如,A类中定义一个B类,那么B类相对于A类来说就是A类的内部类,而A类相对于B类来说就是外部类。
2023-02-07 16:38:35
36
原创 java的接口
接口的本质就是契约,就像我们人间的法律一样。制定好后大家都要遵守。声明类的关键字是class,声明接口的关键字是interface。·接口:只有规范,自己无法写方法(只是实现约束和分离)·抽象类:具体实现和规范(抽象方法)都有。·普通类:只有具体实现。必须要重写接口中的方法。
2023-02-07 16:33:54
59
原创 java中继承与方法重写
继承的本质是对某一批类的抽象,从而实现对现实世界更好的建模·extends的意思是“扩展”。子类是父类的扩展java中只有单继承,没有多继承(一个儿子只能有一个爸爸,一个爸爸可以有多个儿子)·继承是类和类之间的一种关系。除此之外,类和类之间的关系还有依赖、组合、聚合等·继承关系的两个类,一个为子类(派生类),一个为父类(基类)。
2023-02-06 17:32:37
387
原创 java封装
通常,应禁止直接访问一个对象中数据的实际显示,而应通过操作接口来访问,这称为信息隐藏。·统一接口(都是get、set)·提高程序的安全性,保护数据。属性私有(private),get/set。·隐藏代码的实现细节。2、student方法的实现。1、student方法。·该露的露,该藏的藏。·封装(数据的隐藏)
2023-02-06 17:23:08
54
原创 java中面对对象、类与对象创建
面向对象编程:OOP·面向对象编程的本质就是:以类的方式组织代码,以对象的组织(封装)数据。·三大特性:封装继承多态·抽象(把几个事物中像的那部分抽出来)·从认识论角度考虑是先有对象后有类。对象,是具体的事物。类,是抽象的。是对对象的抽象。{先有会教书的(对象)人,后有老师(类)这一类人)}·从代码的角度考虑是先有类后有对象。类是对象的模板。
2023-02-06 17:17:18
64
原创 java中的多维数组
多维数组可以看成是数组的数组(数组的嵌套),比如二维数组就是一个特殊的一维数组,其每一个元素都是一个一维数组·二维数组语法:*上面的数组a可以看成一个二行五列的数组·图解数组·二维数组也是一样的,下面就举一个二维数组的例子。
2023-02-06 17:08:15
248
原创 java中数组的使用
Arrays类中的方法都是static修饰的静态方法,在使用的时候可以直接使用类名进行调用,而可以不用对象来调用。·使用方法:Arrays. (.后面是自动弹出的功能)
2023-01-17 16:38:41
62
原创 java中数组的三种初始化、特点、下标越界
数组变量属于引用类型,数组也可以看成是对象,数组中的每一个元素相当于该对象的成员变量。数组本身就是对象,java中对象是存在堆中的,因此数组无论保存原始类型还是其他对象类型,·数组数组是引用类型,它的元素相当于类的实例变量,因此数组一经分配空间,其中的每一个元素也被按照实例变量同样的方式被隐式初始化(输出默认值)·数组的长度是确定的,不可变的。·数组是相同数据类型(数据类型可以是任意类型)的有序集合。数组一旦被创建,他的大小就是不可以改变的。·数组的元素可以是任何数据类型,包括基本类型和引用类型。
2023-01-13 16:08:07
129
原创 java中数组的声明与创建
相同类型数据的有序集合·相同类型的若干个数据,按照一定的先后顺序排列组合而成·其中,每一个数据称作一个数组元素,每个数组元素可以通过一个下标来访问它们。
2023-01-12 17:22:02
281
原创 java中的递归
递归可以用简单的程序来解决复杂的问题。它通常把一个大型复杂的问题层层转化为一个与原问题相似的规模较小的问题来求解,递归的能力在于用有限的语句来定义对象的无限集合。·递归头:什么时候不调用自身方法。如果没有头,将陷入死循环。·递归体:什么时候需要调用自身方法。·什么是递归:A方法调用A方法,就是自己调用自己。
2023-01-10 16:01:35
65
原创 java中方法的重载
解释:max前面的类型要改,和后面要求的参数类型一致,总的来说就是运用的参数类型不同,程序会根据类型不同来考虑调用哪种方法。·方法名称相同时,编译器会根据调用方法的参数个数,参数类型等去逐个匹配,以选择对应的方法,如果匹配失败,则编译器报错。解释:方法的重载:这里方法名还是max,但是参数类型是double。说白了就是:一个类里面有两个方法,并且用相同的名字,只是方法的。·重载就是在一个类中,有相同的函数名称,但形参不同的函数。·方法的返回类型可以相同也可以不同。解释:方法名是max,参数类型是int。
2023-01-09 20:19:14
349
原创 java中的可变参数
定义:在方法声明中,在指定参数类型后面加一个省略号(...)·一个方法中只能指定一个可变参数,它必须是方法的。任何普通的参数必须在它之前声明。
2023-01-09 20:18:10
76
原创 java中方法的定义和调用
java的方法类似于其他语言的函数,是一段用来完成特定功能的代码段,一般情况下,定义一个方法包含以下语法:方法包含一个方法头和一个方法体,下面是一个方法的所有部分:修饰符:可选,告诉编译器如何调用该方法,定义该方法的访问类型。返回值类型:方法可能有返回值。return value type是方法返回值的数据类型。有些方法没有返回值,在这种情况下,return value type是关键字void。(有返回值时,最后要加上return;没有返回值时,前面写void,最后没有return)
2023-01-06 16:24:21
232
原创 java中的break、continue、goto
对java来说唯一用到标签的地方是在循环语句之前。而在循环之前设置标签的唯一理由是:我们希望在其中嵌套另一个循环,由于break和continue关键字通常只中断当前循环,但若随同标签使用,他们就会中断到存在标签的地方。,不执行循环中剩余的语句。(break也在Switch语句中使用),即跳过循环体中尚未执行的语句,接着进行下一次是否执行循环的判定。·break一般在switch和while语句中使用。·continue语句用在循环语句体中,,均可用break控制循环流程。·break在任何循环语句的。
2023-01-05 16:55:29
137
原创 java中的循环结构:while、do...while、for、增强for
接着,检测布尔表达式的值,如果为TRUE,则循环体被执行。·最先执行初始化步骤,可以声明一种类型,但可初始化一个或多个循环控制变量,也可以是空语句。·对于while而言,如果不满足条件,则不能进入循环,但我们有时候需要即使不满足条件,也至少执行一次。·我们大多数情况是会让循环停下来的,我们需要一个让表达式失效的方式来结束循环。·执行一次循环后,更新循环控制变量(迭代因子控制循环变量的增减)·do...while循环总是保证循环体会至少执行一次!·do...while循环和while循环相似,不同的是,
2023-01-04 15:50:18
122
原创 java的顺序结构
语句与语句之间,框与框之间是按从上到下的顺序进行的,它是由若干个依次执行的处理步骤组成的,·Java的基本结构就是顺序结构,除非特别指明,否则就按照顺序一句一句的执行。它是任何一个算法都离不开的一种基本算法结构。·顺序结构是最简单的算法结构。
2023-01-03 16:07:51
62
原创 Scanner进阶使用
其中第二句scanner.nextLine();中next后面还可以接Int、Double、Float、Byte等数据类型。输入多个数字,并求出其总和与平均数,每输入一个数字用回车确认,通过输入非数字来结束输入并输出执行结果。
2023-01-01 20:09:06
143
原创 Scanner 对象
关于next()·java给我们提供了一个工具类,我们可以获取用户输入。Java.util.Scanner是java5的新特征,我们可以通过Scanner类来获取用户的输入。·基本语法:·通过Scanner类的next()与nextLine()方法获取输入的字符串,在读取前我们一般需要使用hasNext()与hasNextLine()来判断是否还有输入的数据。首先scanner的输入输出代码相对固定(如下)
2022-12-31 20:00:36
83
原创 javaDoc
以上参数信息,加在类上面就是类的注释;加在方法上面就是方法的注释。·javadoc命令是用来生成自己的API文档的。·@since 指明需要最早使用的jdk版本。·@throws 异常抛出情况。·@return 返回值情况。·@version 版本号。·@author 作者名。·@param 参数名。
2022-12-12 19:43:37
77
原创 java中的包机制
为了能够使用某一个包的成员,我们需要在java程序中明确导入该包,使用import语句可以完成此功能。·为了更好的组织类,java提供了包机制,用于区别类名和命名空间。常见问题:如何实现包中包?
2022-12-12 19:10:34
138
原创 java中的运算符
·算数运算符:+,-,*,/,%(取余运算,也称模运算),++(自增),--(自减)·赋值运算符:=·关系运算符:>,=,>,>(了解)·条件运算符;? :·扩展赋值运算符:+=,-=,*=,/=注意:运算类型跟着大的走,意思就是运算符的结果是根据最高运算符来决定的:运算中有一个double,那么结果就是double类型,最低的类型为int类型。(如下解释)
2022-12-07 19:54:46
251
原创 java中的变量与常量
·变量是什么:可以变化的量·java是一种强类型语言,每一个变量都必须申明其类型·java变量是程序中最基本的存储单元,其要素包括变量名,变量类型和作用域 ·类变量·实例变量:方法外,类的里面·局部变量:方法内 实例变量 常量 ·常量:初始化后不能改变值!不会变动的值·所谓常量可以理解成一种特殊的变量,它的值被设定后,在程序运行中不允许被改变final 常量名=值·常量名一般使用大写字母 变量的命名规范 ·所有变量,方法,类名:见名知意(用英文,不要用拼音)·
2022-12-07 19:28:30
86
原创 java中注释、标识符、数据类型
注释Java的注释有三种:单行注释、多行注释、文档注释单行注释://注释内容多行注释:/*注释内容*/文档注释:/** 注释内容*/(注释颜色可以自己改)(如下图)标识符Java所有的组成部分都需要名字,类名,变量名以及方法名都被称为标识符。·所有标识符都以字母,美元符($),或者下划线开始·首字母之后可以是任意组合(特殊符号除外#等)·不能使用关键字作为变量名或者方法名·标识符是大小写敏感的·可以使用中文命名,但是一般不建议使用,也不建议用拼音,很low·标识符不能重名数据类型·强类型语言(安全性高
2022-12-05 18:59:32
173
原创 Hello World
用IDEA写Hello,World·下载好IDEA·创建new project(选择好路径)·在src中new class·输入psvm:快捷建一个方法·输入sout:快捷建一个输出函数
2022-12-04 10:27:19
48
原创 电脑快捷键
Ctrl+PrtSc(F11):电脑全屏截图(按了像没按一样,但是打开要放图片的位置,再Ctrl+V即可看见截图)Alt+PrtSc:电脑局部截图(按了像没按,但是打开要放图片的位置,再Ctrl+V即可看见截图)·恢复进程:点击文件,点击“运行新任务”,输入任务名称(见下图)Ctrl+Alt+A:QQ截图(要登录QQ)(输入cmd打开命令行窗口)(见下图)Alt+A:微信截图 (要登录微信)Windows+R:运行(见下图)Windows+E:打开我的电脑。Ctrl+Shift:切换输入法。
2022-11-27 18:11:05
679
原创 MarkDown语法
使用方法:新建文件夹,新建txt文件,把后缀.txt改成.md,双击打开(若没有看见扩展名,则按下图操作)·推荐文本编译器:Typpora(直接百度搜索Typpora,根据自己选择进行安装,目前来说是要收费的)·点击“视图”选择“大纲视图”(方便看全貌,根据自己喜欢)斜体+粗体:字体左右两边分别加三个*## (空格)+标题名字+(回车)## (空格)+标题名字+(回车)# (空格)+标题名字+(回车)列如(***hello***)列如(**hello**)张三|男|1997.1.1。
2022-11-26 23:16:27
132
3
空空如也
windows sever2012r2本地服务器出现红色
2023-04-19
TA创建的收藏夹 TA关注的收藏夹
TA关注的人