- 博客(17)
- 资源 (1)
- 收藏
- 关注
RSS订阅
原创 Python实现京东抢秒杀
京东购物车抢购商品1.Python的下载和安装这里由于我们代码是基于Python来执行的所以我们这里需要2个东西:一个是Python本身,另一个是pycharm,只需要这两个哦!!!网上有很多教程,所以我在这里就不一一赘述了2.系统环境,模块的配置安装好Python,请移步我的另一篇博客,根据前面的3个步骤完成环境的配置Python实现淘宝秒杀3.京东抢秒杀代码注意!!:①将代码复制到pycharm中执行②注意代码修改最后的时间③需要安装火狐浏览器④京东扫码登录⑤!!!
2021-01-23 22:37:34
12186
18
原创 BUU SQL COURSE 1 1
http://6f38f91e-0206-4565-bdbb-186602b4bde9.node4.buuoj.cn:81/backend/content_detail.php?id=-1%20union%20select%201,group_concat%28schema_name%29%20from%20information_schema.schemata--+http://6f38f91e-0206-4565-bdbb-186602b4bde9.node4.buuoj.cn:81/backe.
2021-10-20 15:29:24
1349
原创 BUUCTF CODE REVIEW
内容就如题,是一个代码审计。<?php/** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */highlight_file(__FILE__);class BUU { public $correct = ""; public $input = ""; public function __destruct() { try {
2021-10-15 16:09:23
542
原创 BUUCTF upload-labs
①这里是前端JS限制了我们只能上传特点格式的文件②这里我们可以在设置里面直接关闭网页的JS③或者通过抓包的形式,绕过前端验证④这里在burp suite中将jpg改成php⑤这里上传成功⑥我们也可以通过抓包的形式来了解文件上传的位置...
2021-10-11 14:10:50
3306
原创 BUUCTF BUU LFI COURSE 1
这是一道本地文件包含的题输入 ?file=/flag 即可看到flaghttp://c241d62f-732c-46d3-b45a-f3390d0411af.node4.buuoj.cn:81/?file=/flag
2021-10-11 10:14:08
1024
原创 WireShark流量分析(数据包经过三层路由之后的变化(ARP))
拓扑图:数据传递过程:PC1------SW---------ROUTER---------SW-----PC2整个过程的流量帧:流量分析:情况是第一次通信,有路由器存在,跨网段的通信。①PC1开始Ping PC2,因为是跨网段的通信,所以要先发ARP包请求网关的MAC地址,要拿到网关的MAC地址才能正确封装数据。这时ARP包(注意这里是ARP包,不是你的Ping包)里源ip地址为PC1的IP地址,源MAC地址为PC1的MAC地址,目标IP地址网关的地址,目标MAC地址为全F
2021-02-21 15:06:42
1376
原创 WireShark流量分析(证书 certificate)
攻击者可以对证书进行修改,攻击的效果是:内网可以访问服务器的web,外网不能访问,就是因为服务器没有受信任的证书。这种攻击可以从流量分析中看出,如果服务器没有提供证书,就有这种可能...
2021-02-16 17:45:05
1459
1
原创 WireShark流量分析(中国菜刀,webshell)
首先拿到这个流量包,还是先对整个包中的帧进行初步的查看,发现为大量的TCP数据帧和HTTP数据帧。网络攻击一般来自于web,是web那就一定有http,接下来对http进行筛选发现为大量的GET请求,GET请求在实质性的破坏上比POST请求的破坏性小,那接下来再进行对POST请求的筛选。发现一个很特殊的数据帧,在访问xiaoma.php,并且一般用户是不会访问到upload文件夹的,接下来对此IP进行筛选,方便查看。攻击者通过提前上传一个webshell文件(xiaoma.php),接下来通
2021-02-12 23:32:03
4365
原创 WireShark流量分析(任意文件上传)
首先查看整个流量包,发现基本上为TCP和HTTP的流量数据(帧)。还是老套路,网络攻击一般都是通过web来实现,那就先从http开始筛选。由下图可知,数据帧都是在做一个正常的网页图片的GET请求,有一些少量的POST请求,那下一步再次筛选POST请求。这下结果显而易见了,大部分POST请求都在访问一个html文件,而唯独有一个数据帧在对upload文件夹进行上传点开该数据帧,发现这个一个任意文件上传的漏洞,通过修改content-type来实现绕过,并且攻击者通过漏洞上传了一个一句话木马。
2021-02-12 22:58:22
3805
原创 WireShark流量分析(暴力破解)
首先查看整个流量包,发现基本上为TCP和HTTP的流量数据。依据图可知,是大量tcp,少量http,从少的开始我们熟知对于web中HTTP协议中的POST方式的危害性最大,接下来将流量包进行筛选发现POST方式中,有一个频繁出现的IP地址一直在进行登录的尝试,现在初步判定为暴力破解那再次进行筛选,单独将此IP筛选出来从开始看到结尾,此IP总共进行5秒钟的登录,判定在进行暴力破解通过数据流量的长度来判断,攻击者是否有成功的破解到账户和密码如上图可知,数据包的长度与其他的数据流量长度不一
2021-02-08 20:23:58
5563
2
转载 HTTP
HTTP请求的方法:①HTTP/1.1协议中共定义了八种方法(有时也叫“动作”),来表明Request-URL指定的资源不同的操作方式*②HTTP1.0定义了三种请求方法: GET, POST 和 HEAD方法。③HTTP1.1新增了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法注意:1)方法名称是区分大小写的,当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Mothod Not Allowed);当服务器不认识或者不
2021-01-16 16:53:24
282
原创 Python实现淘宝秒杀
1.安装 Selenium 模块。Selenium支持很多浏览器,我选择的是Firefox浏览器。安装方法:①打开cmd;②输入命令 pip install selenium;③回车,等待自动安装;④当最后一行代码出现Successfully install selenium-XX时,表示安装成功。2. 插件 FireBugFireBug 是火狐浏览器的一款查看代码元素的插件,可以快速的定位元素,selenium的重点就是元素定位,只有定到位了,才能进行下一步操作。测试安装成功,按F12
2021-01-16 15:33:45
7498
10
转载 线程与进程的区别
根本区别:进程是操作系统资源分配的基本单位,而线程是任务调度和执行的基本单位(进程是线程的容器,不存在没有线程的进程的)在开销方面:每个进程都有独立的代码和数据空间(程序上下文),程序之间的切换会有较大的开销;线程可以看做轻量级的进程,同一类线程共享代码和数据空间,每个线程都有自己独立的运行栈和程序计数器(PC),线程之间切换的开销小。所处环境:在操作系统中能同时运行多个进程(程序);而在同一个进程(程序)中有多个线程同时执行(通过CPU调度,在每个时间片中只有一个线程执行)内存分配方面:系统在运行的
2021-01-16 11:33:09
205
原创 Python 将代码转换为可执行文件,脱离python环境运行
**将Python程序(.py)转换为Windows可执行文件(.exe)第一步:安装pyinstaller打开cmd,输入 pip install pyinstallerpip install pyinstaller可能由于网络问题,下载会出现超时的问题。解决方法:①[在github上下载][(https://github.com/pyinstaller/pyinstaller)]②然后解压到python安装目录中,解压完成后点开pyinstaller-develop【此处的文
2021-01-16 11:28:07
1426
原创 Python扫描端口
通过python代码对局域网内某IP开启的端口进行扫描**此时发现线程小于等于800时,代码可以正常运行,大于时会出现报错,发现是线程并发数量太多,系统不支持如此多的线程并发。****所以这里对线程一次并发的次数进行限制,解决了不能start news thread的问题****限制了并发的最大数量之后,使用了不到1分钟的时间成功扫描了1-10000内的所有的端口**...
2021-01-15 10:23:13
398
1
转载 什么是URL
URL(Uniform Resource Locator)的意思是统一资源定位符,是用于完整地描述Internet上网页和其他资源的地址的一种标识方法,也被称为"网址"。 tip:在Internet上所有资源都有一个独一无二的URL地址,我们可以通过在字蓝旗地址栏中输入URL实现对资源的访问。URL的组成我们以百度的域名为例子:http://www.baidu.com:80/ 1.协议部分 这里使用的HTTP协议,即超文本传输协议,该协议支持简单的请求和响应会话,对于Web服务器,最常用的是HTTP协议
2021-01-15 09:16:50
386
一个人偷偷看的东西.zip
2021-01-25
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人