- 博客(35)
- 收藏
- 关注
RSS订阅原创 SQL注入之数据库和系统库2024.7.28
3、**mysql库**是核心数据库,类似于sql server中的master表,主要负责存储数据库的用户(账户)信息、权限设置、关键字等mysql自己需要使用的控制和管理信息。数据库就是一个存储数据的仓库,数据库是以一定方式存储在一起,能与多个用户共享,具有尽可能小的冗余,与应用程序彼此独立的数据集合。1.**information_schema 库**:是信息数据库,其中保存着关于MySQL服务器所维护的所有其他数据库的信息;4、**sys库**具有1个表,100个视图。SQL注入之数据库概述。
2024-07-28 23:10:19
158
原创 验证码识别2024.7.27
1、下载安装插件 https://github.com/f0ng/captcha-killer-modified 2、启动本地验证码识别服务ddddocr codereg.py 3、抓验证码的包,发送到插件 http://127.0.0.1/yanzheng/yanzhengma.php → Extensions ... 4、配置识别服务模板 5、抓登录的包,payload选插件,单线程。验证行为 机器批量操作:投票、抢购、注册、发帖、爬虫……4、Burp插件识别验证码暴破。1、验证码的用途和分类。
2024-07-27 23:51:31
147
原创 密码暴力破解漏洞2024.7.26
3、获得HTTP响应,分析响应结果,看看有没有错误提示。3、找出网站过滤的参数,比如SQL注入和XSS。2、HTTP连接到需要暴破的地址。4、如果有提示,就继续下一次循环。Burp Suite实现暴力破解。1、从字典读取值,生成密码。5、如果没有,就代表暴破成功。2、不同网站使用不同密码。
2024-07-26 22:26:01
145
原创 BurpTarget模块2024.7.25
1、限定Sitemap和HTTPhistory记录哪些域的内容。作用:告诉服务器当前请求是从哪个页面链接过来的。3、限定Scanner扫描哪些域的安全漏洞。2、限定Spider抓取哪些域的内容。一、Target模块的作用。2、对一次工作的域进行分析。二、Target设置目标域。三、站点地图Sitemap。1、把握网站的整体情况。3、分析网站存在的攻击面。四、Target结果操作。Burp渗透测试流程。2、手动(浏览器访问。
2024-07-25 21:14:19
319
原创 Burp Proxy模块2024.7.24
3、Burp Suite拦截HTTPS数据。4、Burp Suite拦截手机App数据。2、Burp Suite代理设置。
2024-07-24 23:21:09
189
原创 Burp Suite模块详解2024.7.23
比如:目录扫描、密码暴力破解、压力测试、FUZZ等。(payload),利用字典进行渗透测试。漏洞问题 Issue activity。对拦截到的请求(地址),设置攻击载荷。一、Burp Suite界面布局。事件日志 Event Log。Burp Suite模块详解。
2024-07-23 22:37:46
234
原创 BurpSuite启动激活2024.7.22学习笔记
在.bat文件中指定java绝对路径,用激活包启动。3、增加Organizer功能(便签)2、JDK——包含Java运行时环境。1、主程序jar包——官网下载。5、BChecks自定义扫描检查。一、BurpSuite程序下载。二、BurpSuite启动激活。三、BurpSuite基本配置。4、增加GraphQL视图。版本对应关系(测试可用的)1、jar包怎么启动。2、独立和隐藏选项卡。2、激活工具怎么使用。
2024-07-22 08:53:03
116
原创 Burp Suite基本介绍
场景:测试SQL注入、文件上传、XSS、CSRF、手段:拦截HTTP数据、对数据进行分析和处。FUZZ、重放攻击、密码暴破、爬取数据、逻。自动化:自动化扫描,产出报告(内置漏洞库。可扩展:提供大量插件,支持自定义编写插件。同类软件:OWASP ZAP、yakit。企业版:企业使用,支持CI/CD集成。社区版:乞丐版,功能阉割(免费)三、Burp Suite参考资料。目标:用于渗透测试,发现漏洞。集成化:包括各种模块、工具。支持:丰富的文档、社区支持。专业版:个人使用,功能全面。本地文档(问号按钮)
2024-07-21 23:38:52
231
原创 Kali Linux渗透测试
01、信息收集 nmap、arpscan、netdiscover、whatweb 02、漏洞扫描、漏洞分析 burp suite、nikto、nessus、awvs、wfuzz、wpscan 05、密码攻击 hydra、medusa、john。kali安装vulhub https://wiki.bafangwy.com/doc/642/ M05-Kali安装佩奇文库 https://wiki.bafangwy.com/doc/246/放大:Ctrl+Shift+加号。缩小:Ctrl+减号。
2024-07-20 21:11:59
337
原创 渗透安装篇之目录扫描收集信息笔记
3、Censys、Zomeye、Fofa介绍。5、基于网络空间搜索引擎的工具。1、什么是网络空间搜索引擎。2、本地文件包含LFI漏洞。2、Shodan的使用。3、常见敏感目录和文件。
2024-07-19 22:19:16
290
原创 渗透测试介绍2024.7.18
1、sql注入 2、xss 3、csrf 4、ssrf 5、文件上传 6、文件包含 7、命令执行、代码执行 8、xxe 9、弱口令 10、业务逻辑 11、其他漏洞。常见漏洞: 1、学习得目的 2、src中的占比例 3、学习方法。1、渗透测试相关岗位介绍。2、渗透测试日常工作内容。
2024-07-18 22:00:20
310
原创 渗透安装篇之安装IDEA2024.7.17
捷克 IntelliJ IDEA、Pycharm、WebStorm、PhpStorm、AppCode、Datagrip、CLion、RubyMine。全称:IntelliJ IDEA (Intelligence) JetBrains 公司,4、添加第三方jar包依赖。1、打开/导入已有项目。2、工具设置、工程设置。支持创建多种框架项目。7、配置Tomcat。
2024-07-17 09:29:49
241
原创 渗透安装篇之JDK
1、JDK类型:Oracle JDK、Sun OpenJDK、Alibaba DrAGonwell。包含了JRE(Java Runtime Enviroment),Java运行时环境。Java Development Kit,Java开发工具包。3、JDK版本:JDK8、JDK11、JDK17。2、安装方式:安装、解压配置(推荐)JDK类型/版本说明。JDK8环境变量配置。
2024-07-16 23:03:39
309
原创 2024安装web漏洞综合靶场dvwa
5、访问http://localhost/文件夹名字。admin password 登录。2、将靶场文件解压到WWW目录下。4、启动apache和MySQL。在物理机安装phpstudy。注意:不能嵌套文件夹。
2024-07-14 23:09:54
210
原创 渗透环境安装篇之安装XSS漏洞靶场xss-labs
4、访问http://localhost/xss-labs/教程基础环境:在物理机安装phpstudy。2、将靶场文件解压到WWW目录下。注意:不能嵌套文件夹。3、启动apache。
2024-07-13 21:55:09
295
原创 如何安装upload-labs文件上传到漏洞靶场
4.访问http://localhost/文件夹名字。安装环境:在物理机里安装phpstudy。upload-labs安装步骤。2.将文件解压到WWW根目录。PHP靶场安装基础环境。
2024-07-12 20:32:30
792
原创 2024年7月11日学习笔记MySQL基础课程之三
36.单行子查询37.多行子查询38.相关子查询39.事务及其特征40.事务并发问题41.事务隔离级别42.视图43.储存过程。
2024-07-11 19:58:58
260
原创 2024年7月8日学习笔记-HTML的常用标签
第2章 HTML的常用标签 2-1 无序列表 2-2 有序列表 2-3 定义列表 dd和dt都是容器类标签 比如:使用场景查看京东网站类目源码。 2-4 表格基础使用 2-5 单元格设置 2-6 表格分区 2-7 form表单域 form是表单的意思,是容器级标签。 2-8 input标签 input标签是输入框的一种,有多种type属性 2-9 文本域 标签是textarea,高度设置 rows和cols rows定义可视区域有几行
2024-07-08 08:00:00
216
原创 2024年7月7日学习笔记-第1章 HTML基础知识
1-1 HTML简介和发展史 1-2 互联网的原理 1-3 纯文本和超文本的区别 1-4 开发工具的使用 1-5 HTML的骨架介绍 1-6 HTML的基本语法
2024-07-07 20:11:19
171
原创 Linux系统状态管理
var/spool/cron/ 每个用户包括root的crontab任务。--human-readable用恰当的单位。存放任何要执行的crontab文件或脚本。全拼:disk usage。全拼:cron table。1、程序 program。2、进程 process。3、服务 service。工具:crontab。找出10M以上的文件。
2024-07-06 21:25:10
311
原创 Linux软件安装
usr/local/jdk-11.0.2/bin/java:实际程序路径。不需要编译的:Javascript、Python、Ruby……需要编译的:C、C++、Swift、Kotlin、Go……源码编译(make)、rpm、deb、yum、apt、/usr/bin/java:注册地址,软链。三、Linux安装软件的几种方式。4、DLL动态链接库/安装服务。四、CentOS安装软件案例。五、Linux软件版本管理。一、软件为什么需要安装。6、开始菜单和快捷方式。二、脚本和程序的区别。解释型:边解释边执行。
2024-07-05 18:26:05
280
原创 Linux用户和权限管理
2、程序用户组(系统用户组):1-999(CentOS7)2、程序用户(系统用户):1-999(CentOS7)5、全名6、home路径7、shell工具。5、全名6、home路径7、shell工具。3、普通用户组:1000-65535。1、用户名2、密码3、UID4、GID。1、用户名2、密码3、UID4、GID。c:字符设备文件(例如屏幕等串口设备)3、普通用户:1000-65535。b:块设备文件(例如硬盘、光驱等)全拼:changeowner。1、root用户:UID=0。d:目录文件(文件夹)
2024-07-05 15:08:51
336
原创 VMware安装Kali Linux图文教程
8.虚拟机内存我这里选择8gb,按照自己电脑配置来,最低要选择2gb,然后点击下一步。5.选择Linux(L),版本选择Debian9或者10都可以,然后点击下一步。6.名称自己写,选一个大点的空间位置,点击下一步(名称和位置路径随意,无所谓)4.点击浏览,选择下载好的kali Linux的ISO镜像,点击下一步。13.最大磁盘大小,给多一点,根据自己电脑容量,然后点击下一步。11.点击默认的SCSI(S)(推荐),然后点击下一步。2.点击自定义(高级)选项,点击下一步。一、教程安装环境工具附下载地址。
2024-07-04 10:57:13
627
原创 Linux文件和目录管理
全拼:print working directory。原路径:/dev/sdb1 挂载到: /sdb-u。全拼:change directory。格式:find 目录 选项 名字或模式。格式:file 选项 文件或目录。格式:cp 选项 源文件 目标文件。格式:mv 选项 原文件 新文件。格式:rm 选项 (多个)文件名。格式:cd 相对路径或者绝对路径。格式:mkdir 选项 目录名。格式:touch 选项 文件名。格式:ln 源文件 链接文件。格式:ls 选项 文件名。删除空目录:rmdir。
2024-07-04 10:42:57
361
原创 Linux操作系统基础知识
普通文件、目录、进程(/proc)、输入输出设备(/dev)、网络字节流socket、command(manual)——具体参数和使用方法。whatis command——命令的简要说明。help command——Linux内置命令。重复执行最近一次,以 cd开头的历史命令。接收用户的命令,经过转换,交给内核去执行。其他用户的主目录是 /home/用户名。info command——详细介绍。Shift + Insert 粘贴。系统变量:/etc/profile。用户变量:~/.bashrc。
2024-07-03 16:36:15
191
原创 centos配置静态IP
DHCP/NET模式第三位都要修改。1.进入系统,先切换最高管理员权限。三、CentOS网络配置文件。二、设置虚拟网络编辑器。第一步是ipaddr。物理机与虚拟机连通性。
2024-07-02 20:40:47
192
原创 网络安全工程师速成基础知识之虚拟机的安装
对于学习网络安全的朋友来说,对于虚拟机的熟练使用那是必须要掌握的。现在我来说一下虚拟机的基础知识。a、运行特定版本操作系统。二.容器技术Docker。b、版本:centos7。b、隔离物理机,测试用。四.VM三种网络模式。五.安装Centos。c、root密码设置。
2024-07-01 18:00:00
152
原创 网络安全工程师基础知识----计算机体系结构
大家都知道,要想学习好网络安全这门专业课程,掌握一些基础知识必不可少,今天就给大家讲一下有关计算机的知识。图灵机理论:计算的本质是一种机械运动,但是他需要信息指令的控制。:迅雷、QQ、百度网盘、腾讯课堂、网易云音乐、游戏。2、服务器,大部分使用的是Linux操作系统。键盘、鼠标、麦克风、摄像头、显示器、打印机等。特点:需要安装和升级,占用资源多,性能高。特点:不用安装维护,跨操作系统,占用资源低。站点:百度、知乎、微博、贴吧、淘宝……1、使用网络的程序,都有一个服务器;20世纪90年代个人电脑流行。
2024-06-30 21:25:35
243
原创 由新手成为一位合格的网络安全工程师需要具备哪些技能?零基础学习必备网络安全知识
渗透测试介绍→→→信息收集→→→Burp Suite从入门到实战→→→密码暴力猜解与防御→→→SQL注入渗透与攻防→→→CSRF漏洞渗透与防御→→→XSS渗透与防御→→→文件上传漏洞与防御→→→文件包含漏洞利用与防御→→→XXE渗透与防御→→→SSRF渗透与防御→→→远程代码执行渗透与防御→→→逻辑漏洞实战→→→JWT渗透与防御→→→中间件漏洞→→→反序列化渗透与防御→→→DNSLog漏洞探测→→→API安全→→→AWVS漏洞扫描→→→Nessus漏洞扫描→→→APPSCAN漏洞扫描。
2024-06-29 20:44:10
241
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人