- 博客(13)
- 收藏
- 关注
RSS订阅原创 一文读懂cookie,Session,Token,JWT之间的区别
通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功)。互联网中的认证用户名密码登录邮箱发送登录链接手机号接收验证码只要你能收到邮箱/验证码,就默认你是账号的主人用户授予第三方应用访问该用户某些资源的权限。你在安装手机应用的时候,APP 会询问是否允许授予权限(访问相册、地理位置等权 限)你在访问微信小程序时,当登录时,小程序会询问是否允许授予权限(获取昵称、头像、地区、性别等个人信息)
2023-10-15 10:04:48
157
1
原创 用java socket通信实现一个模拟“聊天室“
1:当客户端不再与服务端通讯时,需要调用socket.close()断开链接,此时会发送断开链接的信号给服务端。2:当客户端链接后不输入信息发送给服务端时,服务端的br.readLine()方法是出于阻塞状态的,直到读取了一行来自客户端发送的字符串。外层的while循环里面嵌套了一个内层循环(循环读取客户端发送消息),而循环执行机制决定了里层循环不结束,外层循环则无法进入第二次操作。服务端只调用过一次accept方法,因此只有第一个客户端链接时服务端接受了链接并返回了Socket,此时可以与其交互。
2023-10-14 20:14:22
282
1
原创 VulnHub靶机DC3
vulnhub是个提供各种漏洞平台的综合靶场,可供下载多种虚拟机进行下载,本地VM打开即可,像做游戏一样去完成渗透测试、提权、漏洞利用、代码审计等等有趣的实战。从靶机DC-3开始,只有一个最终的flag,只有拿到root权限才可以发现最终的flag。
2023-10-01 14:21:43
129
原创 VulnHub靶机DC-2
VulnHub靶机DC2环境搭建靶机下载地址:https : //download.vulnhub.com/dc/DC-2.zip靶机难度:入门靶机描述:和DC-1 一样,有五个标志,包括最终标志。使用VMware将其打开,设置网卡为桥接(保证攻击机与靶机在同一网段下)
2023-10-01 14:01:19
73
原创 Redis未授权访问漏洞
Redis 是非关系型数据库系统,没有库表列的逻辑结构,仅仅以键值对的方式存储数据。Redis 数据库经常用于Web 应用的缓存。Redis 可以与文件系统进行交互。Redis 监听TCP/6379。
2023-09-24 23:27:12
283
1
原创 unknowndevice64-V1.0靶机渗透测试
打开之后的文件信息为一种brainfuck的程序语言,使用在线工具https://copy.sh/brainfuck/,或者https://www.splitbrain.org/services/ook在线解密后即可获取到ssh的用户名和密码;提示需要密码,图片名称为 key_is_h1dd3n,那么密码就是 h1dd3n,成功提取出了h1dd3n.txt;使用sudo-l查看sudo权限,发现可以无密码登录sysud64。使用sudo sysud64 -h查看帮助消息,发现可以使用。
2023-09-17 02:13:11
181
2
原创 Vulnhub靶机DC-1
python pty 一般我们都会使用nc来接收反弹来的shell,只需要在目标上(以linux为例)执行,本地接收一下就ok了,但是反弹回来的shell,或多或少都会存在问题,比如当我想使用top命令时就会提示没有 tty。当我们拿到一个webshell的时候,我们能够执行一些命令,但是这些命令都是非交互的,也就是说不存在上下文的概念。12.看到一个flag4的用户是在home目录下,在flag4的家目录里面找到了flag4.txt,提示说可不可以使用相同的方法找到root目录下的flag。
2023-08-04 18:52:19
96
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人