- 博客(163)
- 收藏
- 关注
RSS订阅原创 XPath笔记
XPath是用于定位XML/HTML文档节点的查询语言,其核心包含五部分:1)基础节点选取语法(/、//、.、@等);2)谓语条件筛选([]实现位置索引、属性匹配等);3)通配符简化匹配(、@);4)多路径联合(|实现批量选取);5)路径类型选择(绝对/相对/全局路径)。关键注意事项包括索引从1开始、路径独立性以及结果自动去重等特性。实际应用中推荐使用相对路径结合谓语筛选,既保证灵活性又提高定位精准度。
2026-02-23 15:27:22
510
原创 wps一直占用内存,开机自启,进程删不完
摘要:WPS因采用进程守护和CEF多进程架构,导致删除子进程后会被主进程自动重启。彻底禁用需三步操作:1)通过services.msc禁用WPSUpdateService和WPSCloudService;2)在taskschd.msc中删除WPS相关计划任务;3)使用任务管理器结束残留进程。博主实测仅通过开机自启动管理无效,必须从系统级服务入手才能完全关闭。操作后进程可彻底清除,如有问题可留言讨论。
2026-01-20 14:46:10
639
原创 fastapi速成2
本文介绍了FastAPI框架的核心功能实现,包括: 路径参数与查询参数的使用,支持类型验证和范围限制 数据模型定义(使用Pydantic的BaseModel)和字段验证(Field) 多种响应类型处理(JSON/HTML/文件) 自定义响应模型和异常处理(HTTPException) 依赖注入机制(Depends) 异步ORM集成(SQLAlchemy+aiomysql) 示例代码展示了路由定义、参数验证、模型序列化、文件响应等常见API开发场景,体现了FastAPI的高效性和类型安全性。
2026-01-15 16:13:06
214
原创 python武器化开发_01
本文摘要: 本文系统介绍了网络安全领域的端口扫描技术与相关工具。主要内容包括:1)端口扫描原理与常见扫描方式(SYN、FIN、NULL等),对比分析了不同扫描方法的特性;2)主流扫描工具Nmap和Masscan的使用方法;3)网络安全工具库如Scapy、dnspython、netaddr等的安装与应用;4)XSS漏洞检测场景与防护要点。文章还提供了各类工具的安装命令,为网络安全测试提供了实用技术参考。
2026-01-01 18:50:14
1068
原创 电脑检测不到麦克风
Win11系统麦克风无法检测可能是被禁用导致。检查步骤:1.进入系统设置-声音;2.查看麦克风是否被禁用;3.开启后即可正常使用。若问题仍存在,建议继续排查其他可能原因。该问题通常并非硬件故障,而是系统设置问题。
2025-12-22 09:07:44
257
原创 中间件Tomcat,Weblogic,Jboss的弱口令+文件上传
本文介绍了常见中间件(Tomcat、Nginx、WebLogic、JBoss)的功能特点及渗透测试方法。Tomcat作为轻量级JavaWeb服务器,默认密码为tomcat:tomcat;WebLogic企业级应用服务器默认密码Oracle@123,需通过/console路径登录;JBoss管理后台弱口令为admin:vulhub。文中还演示了通过上传war格式木马文件进行渗透的步骤,包括文件格式转换、路径访问等操作技巧,并提示使用冰蝎等工具连接时需注意的配置问题。
2025-11-27 10:27:23
212
原创 BP的业务逻辑漏洞示例靶场
本文总结了Web安全中常见的业务逻辑漏洞类型及复现方法。主要包括:1)过度信任客户端控制导致的安全风险;2)双因素认证(2FA)实现缺陷,可通过凭证重放和爆破绕过;3)数值溢出等低级逻辑缺陷;4)异常输入处理不一致引发的越权漏洞,如利用邮箱截断特性绕过认证。文章详细记录了2FA漏洞的复现过程,强调重定向设置等关键步骤,并指出部分版本差异可能导致复现失败。最后展示了如何利用邮箱注册机制的特性构造255字符的特殊邮箱地址来绕过安全验证。
2025-10-17 15:44:50
492
原创 爆破-BP实现图形验证码的绕过
这是一段关于网络请求配置的技术说明,主要包含以下要点:1)修改过滤器设置;2)在登录过程中定位可查看的图片数据包;3)将数据包发送至插件处理;4)配置OCR接口调用参数,包括URL和请求模板;5)使用"草叉模式"进行攻击,并设置最大进程为1以应对图片更新。文末包含免责声明,强调不得用于非法用途。
2025-10-17 15:44:38
121
原创 CISP-PTE之路--14文
本文摘要: UNIX/Linux权限解析:-rwxr-xr-x表示文件,拥有者可读写执行,组内成员可读执行,其他用户可读执行(非仅执行)。 目录权限drwxr-xrwx中"group"是所属组,非文件属性;错误说法是"文件属性是group"。 Cookie欺骗指伪造身份标识,而非提交移动代码;错误说法是将其定义为"构造移动代码绕过验证"。 计算机取证不包括"恢复数据降低损失",该操作属业务连续性范畴。 DOM型XSS由客户端代码
2025-08-22 18:04:39
223
原创 CISP-PTE之路--12武(一题多解)
本文总结了多种Web安全漏洞的绕过方法:1) SQL注入中通过大小写变换绕过or过滤;2) 文件上传利用PHP短标签或HTML风格标签绕过防护;3) 文件包含漏洞使用伪协议(data://、php://filter)进行利用,包括自动添加后缀时的data协议绕过和远程文件包含技巧。作者特别提醒渗透测试需获得授权,避免非法扫描导致法律风险。不同场景下需灵活运用大小写变换、协议双写、远程包含等技术手段绕过安全防护。
2025-08-21 13:26:22
275
原创 CISP-PTE之路--11武(一题多解)
1. SQL注入 2. 文件包含漏洞 3. 命令执行漏洞 4. 爆破攻击 5. XSS攻击;6. 代码审计 的闭合与PHP解析技术。文章还解释了网站根目录与系统根目录的区别,
2025-08-21 00:32:45
532
原创 CISP-PTE之路--10文
本文通过10道网络技术题目解析了TCP/UDP工作在传输层、路由器隔离ARP广播、数据链路层安全攻击(ARP欺骗等)、表示层提供安全服务、NAT解决公网IP不足、503服务器过载、Teardrop非流量型攻击等知识点.
2025-08-20 16:58:13
135
原创 CISP-PTE之路--09文
Apache访问日志路径由CustomLog指令定义。 SUID权限仅对可执行文件有效,执行时临时获取所有者权限。 Session ID存储在客户端,服务器通过它识别会话数据。 同源策略无法直接防御XSS,需依赖CSP、编码过滤等措施。 WannaCry病毒利用SMB协议的永恒之蓝漏洞传播。 Redis默认端口为6379。 网络层数据单元为数据包,传递至数据链路层封装成帧。 网络攻击分为物理攻击、语法攻击和语义攻击三类。 Hash函数输入长度任意,输出固定长度哈希值。 RSA算法安全性基于大质数
2025-08-20 15:15:05
70
原创 CISP-PTE之路--07文
本文解析了10道网络安全与系统管理相关的技术问题,涵盖口令安全、日志管理、网络攻击类型、加密算法、防御技术、日志路径、数据库权限、Web漏洞、SID标识及SQL命令等知识点。
2025-08-20 14:40:30
55
1原创 命令执行绕过(后序添加小皮和dvwa示例)
、<>、$IFS$9、${IFS}、$IFS、$IFS[*]、$IFS[@]等 %09: <TAB键>(实际发送URL编码%09)
2025-08-03 16:13:24
7742
thinkphp检测工具(慈善1积分)
2025-09-06
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人