自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(15)
  • 收藏
  • 关注

原创 rsync

rsync是一个用于文件和目录同步的强大工具,常用于在本地或远程主机之间复制和同步文件。它不仅支持局域网内的快速文件传输,还可以通过 SSH 进行远程同步。rsync的主要特点是增量同步,即只传输发生变化的文件部分,从而提高传输效率如何rsync配置不当,会造成任何人可以未授权访问上传下载服务器文件。端口873。

2024-09-15 16:07:24 533

原创 Hydra爆破与简单使用 ssh rdp ftp

一款非常流行的网络密码破解工具,用于执行暴力破解或字典攻击。它支持多种协议和服务,如 HTTP、FTP、SSH、MySQL 等,广泛应用于网络渗透测试和安全审计中。目前该工具支持以下协议的爆破:ftpsshtelnetsmtpsmtp-enumimappop3smbrdpvncldapmssqlmysqlpostgresoracle-sidoraclerexecrloginrshteamspeakhttp-gethttp-posthttp-headhttp-proxyhttps-get。

2024-09-10 17:02:39 906

原创 Redis总结,是什么,干什么,怎么利用?

Redis(Remote Dictionary Server)是一个开源的内存数据库,遵守 BSD 协议,它提供了一个高性能的键值(key-value)存储系统,常用于缓存、消息队列、会话存储等应用场景。

2024-09-05 16:21:38 1296

原创 CSRF精简

CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用攻击者通过伪造用户的请求在用户不知情的情况下对网站执行未授权的操作。它利用受害者已经通过身份验证的会话来发送恶意请求,通常在用户访问受信任的站点时被触发。

2024-07-24 14:31:23 759

原创 XSS跨站脚本攻击

安全漏洞,它允许攻击者在目标网站上注入恶意的客户端脚本。这些脚本通常以JavaScript编写,执行在用户的浏览器上,从而窃取用户信息、劫持用户会话或者重定向到恶意网站。就是。

2024-07-19 13:09:52 1102

原创 文件上传(精简)

利用 BurpSuite 工具截断 HTTP 请求,上传文件后缀名加。

2024-07-13 21:16:00 1093

原创 SQL注入,MYSQL跨库,ACCESS跨库

Access数据库是一种关系型数据库管理系统,广泛应用于桌面应用程序和Web应用程序的开发Access是单独存在的数据库数据库名表名列名数据。

2024-06-10 22:26:48 821

原创 PHP登录验证流程(cookie验证码万能密码)

通常,攻击者会构造一个恶意链接或表单,当用户点击或提交时,用户的浏览器会携带合法的Cookie发起请求。攻击者通过在用户登录前设置一个已知的会话ID,然后诱使用户使用这个会话ID进行登录。窃取Cookie:攻击者可以通过各种手段(如XSS攻击、会话劫持等)窃取用户的Cookie信息,包括用户的身份验证凭据。在后续请求中,客户端浏览器会发送这个cookie,服务器通过会话ID找到对应的用户信息,从而实现身份验证。如果用户已登录并具有有效的会话,这个请求将使用用户的会话信息,完成攻击者意图的操作。

2024-06-06 14:15:10 939

原创 XSS详解(常见的构造注入位置示例)

跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种代码注入攻击,攻击者通过在目标网站中注入恶意脚本,使之在用户的浏览器上执行,从而窃取用户的敏感信息、劫持用户会话、进行钓鱼攻击等。示例:攻击者构造一段恶意脚本,通过JavaScript操作DOM,用户在浏览器中访问页面时,脚本直接在客户端执行,导致用户数据被窃取。示例:攻击者在论坛的评论区插入一段恶意脚本,当其他用户查看该评论时,恶意脚本在用户的浏览器中执行,导致用户数据被窃取。攻击者可以在HTML表单的输入字段中插入恶意脚本。

2024-06-03 22:14:19 2286

原创 JSFinder,Finger的安装使用,功能介绍,命令大全

JSFinder 是一个用于查找和提取网站中 JavaScript 文件的工具。这些文件可能包含对渗透测试和安全审计有用的信息,如 API 密钥、敏感数据、功能逻辑等(图丑了点)Finger 是一款用于红队操作和渗透测试的工具,旨在快速识别和检测大量资产中的存活系统以及系统指纹。它可以帮助安全从业者和红队成员在进行安全评估和渗透测试时高效地识别目标系统。

2024-05-29 16:06:35 2153

原创 信息收集,信息打点

信息收集基础

2024-05-26 14:19:26 818

原创 如何对网站的信息收集

信息收集就是获得对方的所需要的信息,信息工作的好坏,将会影响整个渗透测试流程的进行。

2024-05-23 10:32:43 298

原创 30余种加密编码类型特征

md5值由32位或者16位的“0-9”和字母“a-f”组成的字符串 482c811da5d5b4bc6d497ffa98491e38。

2024-05-21 16:51:15 1739

原创 Burp Suite数据包解析

accept:指浏览器或者是其他用户可以接收板的MIME文件的格式。状态行:协议版本,数字形式的状态代码和状态描述,各元素之间空格分开。accept-encoding:表示浏览器可以接受的编码方式。cookie:表示客户端传递给服务器的cookie信息。host:对应网址的URL中的web名称和端口号。响应头标:包含服务器的类型,日期,长度,内容类型。3xx:重定向,为完成请求进一步请求动作。响应数据:服务器返回给客户端的实际数据。user-aget:客户浏览器的名称。1xx:客户端应该继续发送请求。

2024-05-19 01:03:12 447 2

原创 学习笔记打卡第一天

Shoda.io(傻蛋) Zoomeye.org(钟馗之眼) fofa.info。被攻击者控制的电脑或其他设备,用于发动网络攻击。

2024-05-18 00:47:44 220 1

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除