- 博客(30)
- 收藏
- 关注
RSS订阅
原创 H3C--网络设备基本配置与调试
一、实验目的了解如何访问网络设备的命令行接口 使用命令视图,掌握IP地址的配置方法 明白如何配置远程登录 通过Telnet登录路由器的配置,掌握使用Telnet进行远程连接 通过SSH登录路由器的配置,掌握使用Putty等远程登录软件通过SSH进行远程登录二、实验任务与要求通过配置Telnet以及SSH进行路由器的登录三、实验原理(技术)1.对服务器端路由器进行远程登录的第一次对设备做配置时,必须通过Console口进行本地配置2...
2021-09-12 15:05:08
3238
原创 Web安全入门-task2(upload_labs1-10)
首先尝试上传正常php文件,提示存在文件后缀名检测查看源码,理解涉及函数substring():裁剪字符串lastIndexOf():返回某个子字符串在字符串中最后出现的位置的含义为把".“和”."后面的字符串裁剪出来放到ext_name中该方法将从头到尾地检索字符串 stringObject,看它是否含有子串 value。(index:默认时从首字符开始,返回字符串首次出现的位置,没有时返回-1)白名单支持文件类型:.jpg|.png|.gifburp抓包修改。
2023-10-21 10:35:29
144
转载 upload-labs解题(1-21)
https://www.cnblogs.com/lxfweb/p/14847358.htmlhttps://www.cnblogs.com/vinslow/p/17053341.html
2023-10-19 15:26:21
149
转载 XSS-通关小游戏(1-20)
https://blog.csdn.net/weixin_39934520/article/details/106401796
2023-10-19 15:23:16
150
原创 Web安全——task1
发现此时还没有php环境无法访问index.php文件,想到我们可以直接部署phpstudy:https://blog.naibabiji.com/tutorial/linux-phpstudy-zhuang-wang-zhan.html。(可跳过直接部署phpstudy,此处由于这里的配置后续phpstudy部署后仍然无法访问index.php “没注意当时是否用了https“):https://www.cnblogs.com/djjv/p/13976359.html。
2023-10-15 13:05:15
97
原创 Web安全—task0
表单是一个包含表单元素的区域。表单元素是允许用户在表单中输入内容,比如:文本域(textarea)、下拉列表(select)、单选框(radio-buttons)、复选框(checkbox) 等创建表单:输入类型是由 type 属性定义文本域: 标签密码字段: 标签单选框选项: 标签复选框:提交按钮:请求的过程:请求的过程:Accept:用于告诉服务器,客户机支持的数据类型。Accept-Charset:用于告诉服务器,客户机采用的编码Accept-Encoding:用于告诉服务器,客户机支持的
2023-10-14 19:17:12
56
转载 CTF工具】(Window)GitHack下载安装和使用
GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。下载方法因为GitHack需要在Python环境下使用,所以在下载GitHack之前,要先下载好Python2。
2023-09-26 13:14:53
1105
原创 php中的is_numeric()漏洞
is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。所以,查看函数发现该函数对对于第一个空格字符会跳过空格字符判断,接着后面的判断!
2023-09-11 20:53:52
121
转载 松散比较(php弱等于)
观察上述代码,"admin"==0 比较的时候,会将 admin 转化成数值,强制转化, 由于 admin 是字符串,转化的结果是 0 自然和 0 相等。"0e123456"=="0e456789" 相互比较的时候,会将 0e 这类字符串识别为科学技术法的数字,0 的无论多少次方都是零,所以相等。“admin1“==1 却等于错误,也就是 "admin1" 被转化成了 0, 为什么呢?"1admin"==1 比较的时候会将 1admin 转化成数值, 结果为 1。
2023-09-10 21:38:29
79
转载 绕过select过滤
可利用 char() 函数将select的ASCII码转换为select字符串,接着利用concat()函数进行拼接得到select查询语句,从而绕过过滤。或者直接用concat()函数拼接select来绕过。
2023-09-08 15:34:50
591
1
转载 【Web漏洞探索】文件包含漏洞
文件包含(File Inclusion)是一些对文件操作的函数未经过有效过滤,运行了恶意传入的非预期的文件路径,导致敏感信息泄露或代码执行。如果文件中存在恶意代码,无论什么样的后缀类型,文件内的恶意代码都会被解析执行,这就导致了文件包含漏洞的产生。随着网站的业务的需求,程序开发人员一般希望代码更加灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞。
2023-09-08 10:33:42
90
1
转载 【Web漏洞探索】目录遍历漏洞
由chroot创造出的那个根目录,叫做“chroot监狱”(指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中),保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。对用户传过来的文件名参数进行统一编码,将所有字符转换成url编码,这样服务器不会解析成../,对包含恶意字符或者空字符的参数进行拒绝。参数file的数据采用Base64加密,而攻击中只需要将数据进行相应的解密即可入侵,采用一些常见、规律性的加密方式也是不安全的。
2023-09-08 10:30:29
547
1
原创 灰鸽子--木马、后门实验
目录实验目的实验要求实验原理实验环境实验步骤实验目的1.了解木马攻击的原理。2. 掌握木马与后门工作机制3. 掌握木马与后门的防范措施实验要求利用灰鸽子客户端配置服务器程序并生成服务端 配置并生成服务器 进行木马植入,通过灰鸽子客户端界面进行远程连接实验原理一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服...
2022-05-28 21:22:46
2923
原创 DOS--拒绝服务
实验目的1.了解DOS的原理。2.理解UDP FLOOD工具的功能。 3.掌握通过模拟拒绝服务攻击,理解拒绝服务攻击的危害,掌握其防范方法。模拟拒绝服务攻击模拟拒绝服务攻击,利用kali linux攻击window 7 观察攻击的方式,理解攻击过程的原理实验原理拒绝服务攻击即攻击者想办法让目标机器停止提供服务。常见为消耗宽带、CPU、内存资源(各种洪水攻击)。导致延长服务器响应时间。利用服务漏洞,攻陷服务。IP欺骗等。UDP F...
2022-05-28 21:06:45
687
原创 LC5--ftp服务器密码检测
目录 实验目的: 实验任务: 实验原理: 实验环境: 实验步骤:实验目的:1.掌握FTP服务器的搭建方法2.理解FTP的使用。 3.学习LC5破解密码工具的配置和使用方法。实验任务:1、架设一个简单的FTP服务器,分配用户,并...
2022-05-08 11:33:40
740
原创 ARP--利用arpspoof和driftnet工具进行arp欺骗
实验目的:1.了解ARP欺骗的原理。2.对ARP欺骗进行进一步的认识并提出防范措施。 3. 掌握熟悉arpspoof和driftnet的使用方法。任务与要求:1、利用arpspoof进行ARP断网攻击2.利用arpspoof工具和driftnet工具进行ARP欺骗原理:ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就...
2022-03-26 16:06:50
7868
1
原创 H3C--ACL配置实践
实验目的:1.掌握ACL的工作原理;2.会基本ACL的配置;3.会高级ACL的配置。实验任务与要求:1.按照图示配置各个网段的 IP 地址。2.按照图示采用RIPv2路由协议,实现全网互通。3.在服务器上配置开启 TELNET 和 FTP 服务。4.配置 ACL 实现如下效果(1)采用基本的ACL,让192.168.1.0不能访问192.168.2.0。(2)采用高级ACL,PC1 可以访问服务器的TELNET服务,但不能访问 FTP 服务。PC2 可.
2021-12-26 15:58:31
9951
4
原创 H3C--多区域OSPF配置实践
实验目的:1.掌握动态路由协议的工作原理;2.掌握rip路由协议的不足之处;3.掌握ospf的应用场景、ospf的基本原理以及ospf的基本配置。实验任务与要求网络拓扑图:1.按照图示配置各个网段的 IP 地址。2.按照图示配置多区域配置OSPF,实现全网互通。3.为了路由结构稳定,要求路由器使用环回口作为 Router-id,ABR 的环回口宣告进骨干区域。原理:邻居建立:宣告OSPF的路由器是通过所有启动了OSPF的接口发出HELLO包的,如果.
2021-12-26 14:06:49
6458
原创 H3C--交换技术综合实践
新手记录,若有错误请指出。实验目的:熟练掌握vlan,mstp的配置与使用并且能够实现备份的功能实验任务与要求: 实验拓扑结构: 1.某科技公司有4个部门,分别是市场部划分为VLAN10,销售部划分VLAN 20,技术部划分为VLAN 30,IT部划分为VLAN40;2.把四个部门的PC加入到各自的VLAN, 并改名; 3.4个业务部门都能在所有的链路上传输数据;4.交换机之间配置链路聚合来增加带宽; 5.配置MSTP实现市.
2021-12-15 13:12:52
3307
1
原创 H3C--交换技术综合实践--mstp配置及备份功能
新手操作,本文章仅供参考,若有错误烦请指出实验目的:熟练掌握vlan,mstp的配置与使用并且能够实现备份的功能实验任务与要求:1.某科技公司有4个部门,分别是市场部划分为VLAN10,销售部划分VLAN 20,技术部划分为VLAN 30,IT部划分为VLAN40;2.把四个部门的PC加入到各自的VLAN, 并改名;3.4个业务部门都能在所有的链路上传输数据;4.交换机之间配置链路聚合来增加带宽;5.配置MSTP实现市场部和销售部的业务流量通过SW3上行,技术部和IT部.
2021-11-14 18:16:35
3105
原创 JS-简单实现物流快递单号查询
<!DOCTYPE html><html> <head> <meta charset="{CHARSET}"> <title></title> </head> <body> <style> * { margin: 0; padding: 0; } .search {.
2021-11-10 18:48:54
3025
1
原创 JS-实现评论发布与删除
<!DOCTYPE html><html> <head> <meta charset="utf-8"> <title>test</title> <!-- CSS --> <style> *{ margin: 0; padding: 0; } .exform{ margin: 100px auto; width: 450px; hei..
2021-11-10 18:45:31
847
原创 【IDA】成绩等级判断实验
一、实验目的:1.熟练运用汇编语言数据定义伪代码实现数据的定义与分配2.运用比较指令,实验整数大小的判断3.运用条件跳转指令,实现不同用户输入情况下实现不同的成绩等级输出4.运用IDA Pro进行单步调试,并记录寄存器、内存空间值的变化二、实验原理:运用记事本.txt文本文档对汇编程序进行编写 运用Microsoft MASM 615进行汇编语言的编译与链接 运用Visual Studio IDE环境进行汇编程序的编辑、编译与链接 运用IDA Pro 对可执行程序进行跟踪与调.
2021-11-07 16:57:34
1045
原创 H3C--MSTP+链路聚合实践
实验目的: 掌握MSTP的基本配置方法,明白STP产生的原因是为了消除路径回环的影响 理解生成树的含义及其作用,通过何种方式消除环路。 了解链路聚合的优点,定义及其分类 掌握链路聚合的配置方法,实现链路备份、增加链路带宽以及其数据的负载 熟练掌握静态聚合的配置方法 实验任务与要求: 要求:SW1、 SW2、SW3上配置链路聚合。创建二个VLAN,VLAN 10 、VLAN 20。VLAN
2021-11-02 12:53:42
1213
转载 ospf邻接关系建立过程
概念:首先我们应该知道的是,邻居关系是指什么,邻居关系是指OSPF达到了2 way状态才叫邻居关系的建立,而邻接关系则是达到full状态。 那么OSPF 有什么状态呢?Down Init 2way Extart Exchange Loading Established (也就是full状态)确切来说是有八种状态的,另一种是Attempt状态,这个只在NBMA(非广播多路网络)中才会产生,这里就不加进去。 路由器R1<------------------...
2021-10-11 18:21:17
3352
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人