勤劳的鼹鼠-CSDN博客

原创 ssrf和csrf漏洞详解

跨站请求伪造，冒用Cookie中的信息，发起请求攻击。CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。

2024-08-24 23:03:15 869

原创 xss之DOM破坏

DOM破坏就是⼀种将 HTML 代码注⼊⻚⾯中以操纵 DOM 并最终更改⻚⾯上 JavaScript ⾏为的技术。在⽆法直接 XSS的情况下，我们就可以往这⽅向考虑。

2024-08-17 21:41:09 512

原创 Thinkphp和cmseasy注入漏洞

ThinkPHP是一个开源的PHP框架，它是中国的一个流行Web开发框架。ThinkPHP的设计理念主要是“快速开发”，它提供了一系列简化开发者工作的工具和特性，如MVC（模型-视图-控制器）架构、自动加载机制、数据库操作层、表单处理、模板引擎等。

2024-08-11 22:03:55 924

在sql执行的时候，floor是向下取整，配合rand(0)*2产生的前五位数字一定是01101，这下就简单了，我们来模拟group_by过程，遍历表第一行时，先计算出一个 x=0security，查临时表，不存在，再次计算 x 然后插入 x=1security；id=1”，这里的?时间盲注和布尔盲注的区别是，不管输入的数据正不正确只显示一个跳转页面，当然在注入的时候可以加一个sleep函数使得页面进行沉睡，当访问正确的时候，页面沉睡几秒后跳转，访问错误页面即可跳转。1，当输入Less-1/?

2024-08-05 15:32:37 1485

原创防火墙双机热备和带宽控制

本文是基于来添加一些新的功能。

2024-07-18 21:48:47 446

原创防火墙nat与智能选路

当没有禁用电信链路的时候可以访问，当禁用了之后无法访问。注意：在同一个区域无需再做安全策略来放通流量。将对应接口配置IP地址并且划分到相应的区域。1.修改电信，移动接口的配置。2.1 移动链路接口。

2024-07-14 17:07:44 871

原创 Linux入侵排查

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些 Linux 服务器入侵排查的思路。

2024-07-14 09:50:52 1390

原创防火墙策略和用户认证

进入到防火墙系统配置界面选择管理员配置选项。

2024-07-12 11:59:50 809

原创【web安全】-- 命令执行漏洞详解

命令执行漏洞是一种网络安全漏洞，它允许攻击者在受影响的系统上执行恶意命令。这种漏洞通常出现在软件应用程序或系统中，其典型示例是 Web 应用程序中的远程命令执行（RCE）漏洞。

2024-04-30 14:26:55 1855 1

原创 xsslabs靶场通关（持续更新）

本篇文章将介绍在xsslabs这个靶场中每一个关卡的详细通关策略，若有瑕疵还望客官多多担待。

2024-03-14 11:45:44 2175 1

原创制作图片马：二次渲染(upload-labs第17关)

在本关的代码中这个imagecreatefromjpeg();函数起到了将上传的图片打乱并重新组合。这就意味着在制作图片马的时候要将木马插入到图片没有被改变的部分。

2024-03-12 14:50:09 2353

原创 sqli-Lab: Less-46教程

页面回显错误页面回显出数据，说明是整形闭合。

2024-02-21 20:21:41 413

原创 Sqli-lab：Less-1教程

1，当输入时会显示显示对应的Login name与Password，可以证明我们输入的内容是在数据库里面查询2，判断SQL语句是否是拼接a,当我们输入1’时会报错b,当我们输入1'--+时不会报错，就可以使用联合查询的方式进行sql注入。

2024-01-28 14:50:35 610 1

原创 nginx的反向代理—负载均衡

特点是：每个请求按时间顺序逐一分配到不同的后端服务器，如果后端服务器 down 掉，能自动剔除。当我在Windows主机打开浏览器访问此nginx主机的时候会切换到配置文件所写的服务器主机。特点：每个请求按访问 ip 的 hash 结果分配，这样每个访客固定访问一个后端服务器。特点：智能的根据页面大小、加载时间长短进行负载计算。在配置文件中我设置的权重是1：2。

2024-01-25 16:39:22 428

原创最新wazuh安装（超详细）

系统会生成对应的代理代码，去你想要代理那个服务器上复制并且执行。Never connected agents：从未连接过代理。在进入主界面后可以进行wazuh代理（点击添加代理）Disconnected agents：断开的代理。3.使用您的凭据访问 Wazuh Web 界面。Total agents：你代理的服务器数量。Active agents：正在连接的代理。Pending agents：待处理代理。输入安装wazuh服务器的IP地址。选择你要代理的服务器。

2023-12-05 17:21:14 1711 1

原创 Mysql存储函数的基本使用

功能查询employees表的平均薪资满足条件department_id为deptno，job_id为job的平均工资。

2023-12-05 11:15:56 81

原创 MySQL表操作

【代码】MySQL表操作。

2023-11-26 20:08:12 94

原创 mysql多表查询

【代码】mysql多表查询。

2023-11-20 20:00:54 107

原创 MySQL查询语句基本适用

【代码】MySQL查询语句基本适用。

2023-11-20 18:16:56 275

原创 JavaScript难点

function命令声明的代码区块，就是一个函数。function命令后面是函数名，函数名后面是一对圆括号，里面是传入函数的参数。函数体放在大括号里面。

2023-11-03 16:21:46 51

原创正则验证用户名以及跨域postmessage

/</</</</

2023-10-08 17:41:47 55

原创【float与flex-box布局】

在当今的浏览器页面的制作中推荐使用flex-box布局，因为它提供了更多的控制和灵活性，而且不会引入一些浮动可能带来的问题。但是在面对老旧的浏览器来说或者处理待定文本的环绕效果，float还是会起到一定的作用。

2023-09-22 16:07:19 75

原创 SSL VPN

内网web资源只有私网地址，在做NAT的情况下，公网用户可以实现对其访问，但是web资源没有使用安全传输协议，SSL VPN可以实现对其https安全访问。内网web资源只有私网地址，在不做NAT的情况下，可以通过SSL VPN实现对其的代理安全访问。终端安全是在请求内网主机上部署一个软件，通过该软件检查终端的安全性包括：主机检查，缓存清除。单端口单服务：telent、SSH、MS RDP VNC。提供丰富的静态端口的TCP应用。多端口多服务：outlook。单端口多服务：notes。

2023-08-08 12:14:43 205

原创 IPSEC VPN

身份验证又称“验证”、“鉴权”，是指通过一定的手段，完成对用户身份的确认。身份验证的方法有很多，基本上可分为：基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证身份验证的方法有很多，基本上可分为：基于共享密钥的身份验证、基于生物学特征的身份验证和基于公钥加密解密算法的身份验证。不同的身份验证方法，安全性也各有高低。

2023-08-08 11:00:01 82

原创华为vpn简单配置

【代码】华为vpn简单配置。

2023-07-31 14:46:02 494

原创恶意软件与反病毒

恶意软件是指故意设计造成损害到计算机、服务器、客户端或计算机网络的软件（相比之下，软件由于一些缺陷导致无意的伤害通常被描述为软件错误）。恶意软件存在各种各样的类型，包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件等。

2023-07-28 14:59:10 112

原创 IDS知识总结

IDS(入侵检测系统)：入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。

2023-07-27 13:59:55 805

原创防火墙nat和双机热备

nat配置nat在防火墙将对应接口划分到相应区域里配置nat策略做安全策略测试nat的域间双转换配置nat策略做安全策略nat的域内双转换nat策略安全策略进行dns域名解析服务做安全策略测试双机热备将接口划入对应的区域进行双机热备的配置主设备备用设备测试当主设备一个接口出现故障时候备用设备成为主设备

2023-07-25 14:28:15 70

原创防火墙综述以及实验

防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

2023-07-22 18:25:32 130

原创 shell 脚本

【代码】shell 脚本。

2023-06-27 11:14:38 83 1

原创 DNS的正反向解析

【代码】DNS的正反向解析。

2023-06-08 18:54:13 49

原创网络搭建2.0

在本次实验是基于域名访问，这就要修改window端的hosts文件，但是我的权限不够只能实现在window端基于IP地址进行访问网页。

2023-06-02 17:42:19 46

原创配置时间服务器和远程登录服务器

时间服务器和远程登录服务器的搭建

2023-05-21 20:17:49 110

原创 VLAN综合和试验

1、pc3所在接口为access；属于VLAN2pc2/4/5/6处于同一个网段；其中pc2可以访问pc4/5/6；但pc4可以访问pc5不可访问pc6；2、pc5不可访问pc63、pc1/3与pc2/4/5/6不在同一个网段4、所有的PC用DHCP获取IP地址，PC1/3可以访问pc2/4/5/6。

2023-05-01 10:36:10 69

原创 BGP联邦实验

用户网段一般为/24，现将16位的化为24位的做用户地址，在取一条24的用来划分骨干地址。

2023-04-13 16:55:04 91

原创 opsf综合实验2.0

思路按照区域来看可以划分5个区域所以需要借3位划分出8的IP来用于区域的IP地址多出的2个可以做备份（也利于接下来的区域汇总），在每个区域中有用户网段和骨干链路，在通常情况下用户网段都是172.16.0.0/24，可以首先每个区域里面用/24的网段进行划分，划分为点到点网络和MA网络，点到点用/30网段，MA用/29网段实现。

2023-04-05 16:35:58 115

原创 MGRE环境下的ospf实验

如果修改为broadcast的网络类型要考虑DR和BDR的选举问题，改为p2mp网络类型不应考虑DR和BDR的选举问题，我使用的是改为p2mp网络类型。因为MGRE环境下都是进行点对点的网络类型，在所属的接口将网络类型改为broadcast以此来进行关系的建立。也是点到点的网络类型，可以将网络类型需改为p2mp或者broadcast。每个都是中信站点并且每个都是分之结构。中心到站点，正常配置就可以。

2023-03-27 16:48:31 88

原创【无标题】MGRE综合实验

这个就是私网IP到公网IP的转换可以用nat来抓取私网的流量以此来达到私网访问公网的目的。在r5上已经注册了用户可以直接调用。在路由器上直接修改认证信息。

2023-03-22 22:02:03 118

原创静态综合实验

静态综合实验

2023-03-15 21:52:43 66

空空如也

空空如也