moRickyer的博客

原创 Windows系统安全

通过lusrmgr.msc打开账户相关命令之netuser​查看账户abc的详细信息​创建（空密码）[删除]账户​创建普通账户abc,密码123​把abc加入[退出]管理员组​启用[停用]账户abcyes[no]​新建[删除]组adminwhoami​whoami​whoami/all所有信息建立隐藏用户​在建立用户账户时，如果在用户名后面加上符号，就可以建立一个简单的隐藏账户，如"test"...

原创 linux系统安全

在贝尔实验室的UNIX实施文档的早期版本中，/etc表示是“其他（etcetera）目录”，因为从历史上看，这个目录是存放各种不属于其他目录的文件（然而，文件系统目录标准FSH限定/etc用于存放静态配置文件，这里不该存有二进制文件）。也称为“口令失效日”，简单理解就是，在密码过期后，用户如果还是没有修改密码，则在此字段规定的宽限天数内，用户还是可以登录系统的；字段相比较，当账户密码有效期快到时，系统会发出警告信息给此账户，提醒用户“再过n天你的密码就要过期了，请尽快重新设置你的密码！...

原创 xctf misc基础题

地址：https://adworld.xctf.org.cn/media/file/task/f018351ca6c64ceb8a98c9da9f29c9cd.rar打开后可以发现是条形码的样子网站：https://online-barcode-reader.inliteresearch.com/可以获得flagflag{TENSHINE}https://adworld.xctf.org.cn/media/file/task/15a04eedcabe43978bb692c21a0f1b52.rar

原创 1+X web前端理论考试：html js css jq题

Web前端开发初级理论考试:HTML5,CSS3,JS,JQ等初级试题.

原创 [墨者学院]SQL手工注入漏洞测试(MySQL数据库)

必知知识：数据库版本：version()数据库名：database()数据库用户：user()操作系统：@@version_compile_osinformation_schema.tables：记录所有表名信息的表information_schema.column：记录所有列名信息的表table_name：表名column_name：列名table_schema：表名点击登录下面通知进入在网址随便输入判断是否存在注入点通过输入order by x进行判断字段数将前面进.

原创 【web安全深度剖析笔记】HTTP协议解析

HTTP协议解析HTTP即超文本传输协议，是一种详细规定了浏览器和万维网服务器之间互相通信的规则，它是万维网交换信息的基础，它允许将HTML文档从web服务器传输到web浏览器。HTTP和HTTPS的区别https协议需要到ca申请证书，需要一定费用http是超文本传输协议，消息是明文传输，https则是具有安全性的ssl加密传输协议http和https使用的是完全不同的链接方式，用的端口也不一样，HTTP是80，https是443HTTP的链接很简单，是无状态的；https协议是由ssl+HT

转载 linux命令基础

1.系统命令pwd、cd 、ls -al、touch、mkdircp、mv、rm、find / -name xx* 、du(计算目录容量)cat、more (逐页阅读,空格下一页，b返回上一页)head -n 2 xx.txt #查看前两行tail -n 3 ca.* #查看ca开头的文件的后3行grep #正则匹配，搜索文本echo #用于在shell中打印shell变量的值，或者直接输出指定的字符串ln -s 源文件 目标文件 #(-s软链接、不可删除源文件；硬链接时，源文件只能为文

转载 CTF web 题型解题技巧-第一课 思路讲解

原定六月前学完的内容要延后了，先顾工作，后顾学习~对之前学习内容的总结：CTF web 题型解题技巧-第一课 思路讲解；之后会有关于CTF-WEB第二课、第三课等内容。引用亮神的话：如果你分享的内容过于真实，你就没有发表机会，你要完全假了呢，又没有读者去看，你可以在这个通道里，真一会儿假一会儿地往前走，最重要的还是要往前走。----Micropoor侯亮大神说：知识的最高的境界是分享，而在我看来，我们在分享的同时也是对自我认知的一个提升。image.png以下内容大多是我在学习过程中，借鉴前人经

原创 命令注入总结

原创 XSS基础总结

在网上找了很多文章，由于自己能力不够只总结了这些，相关靶场的没有整理，网上的资料很好，就没有整理。靶场https://xssaq.com/yx/index.phpdvwaDorabox

原创 网络安全：绕过CDN，socket与HTTP，cookie与session，Linux挂代理，git config配置等

linux挂代理可以通过让终端走代理的方式来加快速度代理:代理是通过客户端与服务端通信,传输服务端能够访问到的资源文件,再由服务端客户端通信返回给客户端,从而间接访问服务端能访问的资源.-方法一：（推荐使用）为什么说这个方法推荐使用呢？因为他只作用于当前终端中，不会影响环境，而且命令比较简单在终端中直接运行：export http_proxy=http://proxyAddress:port如果你是SSR,并且走的http的代理端口是12333，想执行wget或者curl来下载国外的东西，可以

原创 TCP与UDP及NMAP扫描

TCP与UDPTCP是一种面向连接（连接导向）的、可靠的、基于字节流的运输层通信协议；UDP协议的全称是用户数据报协议，在网络中它与TCP协议一样用于处理数据包，是一种无连接的协议。建立TCP连接的三次握手：第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入SYN_SENT状态，等待服务器确认；SYN：同步序列编号（Synchronize Sequence Numbers）。第二次握手：服务器收到syn包，必须确认客户的SYN（ack=j+1），同时自己也发送一个SYN包（sy

原创 packet tracer 下载及简介

Packet TracerCisco Packet Tracer （下面简称PT）是由Cisco公司发布的一个模拟网络环境的辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了环境。PT提供可视化、可交互的用户图形界面，来模拟各种网络设备及其网络处理过程，使得实验更直观、更灵活、更方便。可以学习IOS的配置、锻炼故障排查能力。在packer tracer 的最下面一条是模块功能区网络设备(network devices)，里面有特定的子类有路由器（routers），交换机（sw

原创 最详细 vsphere创建Windows service虚拟机，并安装VMware Tools 进行配置

创建虚拟机对创建的虚拟机进行自定义设置名称在这里主要看自己在这里默认即可选择虚拟机版本8就好选择自己的系统更改CPU内核数量配置内存大小适配器改为VMXNET 3默认直接下一步更改磁盘配置出现弹窗，单击确定直接下一步安装完成先打开电源右键单击自己说命名的虚拟机，打开控制台链接本地磁盘镜像，并选择自己的镜像单击虚拟机——客户机——发送Ctrl+Alt+Del，然后出现以下界面单击下一步选择现在安装接受许可，单击下一步选择自定义，并

原创 网络安全基础知识

网络信息安全基础知识1.计算机网络：利用通信线路将不同地理位置、具有独立功能的计算机和通信设备链接起来，实现资源共享信息传递等目的的计算机系统主要有局域网（LAN）城域网（MAN）广域网（WAN）和互联网（Internet）2.信息系统：进行信息的采集、传输、存储、加工、使用和维护的计算机应用系统3.信息安全：保护信息系统中的计算机硬件、软件及数据不因偶然或恶意的原因而遭到破坏、更改、泄露，保障系统连续可靠正常的运行，信息服务不中断4.信息安全（狭义）：保护信息系统的安全，主要目标包括保护信息系统

原创 Fluxion安装教程

首先在终端执行：git clone https://gitee.com/youzicha123/fluxion.git通过cd fluxion进入子目录查看目录内容并安装./fluxion.sh红色字体部分显示需要安装缺少的依赖包./fluxion.sh -i按回车接着安装安装结束后出现在debian下载缺少的依赖包在kali浏览器上输入网址：https://www.debian.org/distrib/packages进入安装目录，通过dpkg -i pyrit_0.5