自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

我不是大牛

老白程序员,咱们一起飞~

原创 JSONP原理以及安全问题

JSONP介绍 JSONP全称是JSON with Padding ,是基于JSON格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 元素标签没有跨域限制 JSONP原理就是动态插入带有跨域url的script标签,然后调用回调函数,把我们需要的json数据作为参数...

2020-04-25 15:55:13 135 0

原创 empire-web可视化

首先说明我的安装系统为kali,教程同样适用于ubantu系统。 1、首先安装Empire,没有安装的可以去先参考其他教程安装。 2、下载empire-web git clone https://github.com/interference-security/empire-web.git 下载...

2020-03-19 20:54:00 75 0

原创 Linux中pip install延时问题

pip下载库出现延时问题一般因为GFW,所以在pip install 包名的时候我们可以指定镜像源解决这种问题。如果该镜像没有这个库我们可以制定其他的国内源。 如下所示: pip install packageName -i https://pypi.tuna.tsinghua.edu.cn/si...

2020-03-19 14:31:46 46 0

原创 高级NMAP扫描技巧:TCP空闲扫描

一种更加高级的nmap扫描方式是TCP空闲扫描,这种扫描能让我们冒充网络上另一台主机的IP地址,对目标进行更为隐秘的扫描。进行这种扫描,我们需要在网络上定位一台使用递增IP帧(IP ID:用于跟踪IP包的次序的一种技术)机智的空闲主机(空闲是指该主机在一段特定的时间内不向网络发送数据包)。当我们发...

2020-01-07 20:37:26 249 0

原创 Kali 渗透测试—Metasploit

Metasploit 并不仅仅是一个工具软件,它是为自动化实施经典的、常规的,或复杂新颖的攻击提供基础设施支持的一个完整框架平台。 Metasploit 中提供了渗透攻击模块、攻击载荷和编码器来轻易实施一次渗透攻击,也可以更近一步编写执行更为复杂的攻击技术。 专业术语 渗透攻击(Exploit...

2019-07-16 17:36:03 228 0

原创 提权

当我们拿到WebShell 之后,下一步干什么? 当然是权限提升啊! 简介 通过这些最初的漏洞利用途径,攻击者将获得一定的访问权限。接着,攻击者将逐步探查其破坏的系统来获得比最初更多的权限,以期望从其他账户访问敏感信息,甚至或者获得对整个系统的完全管理控制。当攻击者以这种方式扩大其最初的未经授权...

2019-07-15 19:40:45 227 0

转载 PHP反序列化漏洞

简介 序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。 类和变量是非常容易理解的php概念。 举个例子,magic.php在一个类中定义了一个变量...

2019-07-13 18:00:16 109 0

原创 netcat的使用

简介 netcat被誉为网络安全界的‘瑞士军刀’,相信没有什么人不认识它吧… 一个简单而有用的工具,透过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其它程和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,...

2019-07-12 11:15:41 231 0

原创 口令爆破 --Hydra

内容: 简介 查看帮助 参数说明 Hydra的使用—爆破FTP 服务 图形界面 破解3389 远程桌面连接 破解SSH 服务 Hydra—简介 • hydra著名黑客组织THC的一款开源的暴力破解工具。 • Hydra 支持多平台版本 • 对需要网络登录的系统进行快速的字典攻击—在线攻击。 • 支...

2019-07-09 20:51:31 1040 0

原创 主机信息收集技术 -Nmap

内容: 基础知识 Nmap Zenmap 主机信息收集技术—基础知识 黑客攻击的一般过程 信息收集 • 主要收集目标主机的相关 信息,主要包括端口、服 务、漏洞等信息。信息收 集手段多样,可借助工具 也多种多样。 • 端口扫描:Nmap 主机信息收集技术—基础知识 常见端口号 • 21 FTP ...

2019-07-09 20:32:11 408 0

原创 Web安全之命令执行漏洞

内容: 命令执行漏洞的概述 命令执行漏洞的危害 命令执行漏洞的利用 命令执行漏洞的防御 背景介绍 程序员使用脚本语言(比如PHP)开发应用程序过程中,脚本语言开发十分快速、简洁,方便,但是也伴随着一些问题。比如说速度慢,或者无法接触系统底层,如果我们开发的应用,特别是企业级的一些应用需要去调用一些...

2019-07-09 20:14:44 3796 0

原创 Web安全之代码执行漏洞

内容 1、代码执行漏洞的概述 2、代码执行漏洞的危害 3、代码执行漏洞的利用 4、代码执行漏洞的防御 背景介绍 在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用eval函数(PHP函数)去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成...

2019-07-05 20:53:04 5843 0

原创 靶场环境vulhub的安装

确定安装docker环境 pip install docker-compose git clone https://github.com/vulhub/vulhub.git 目录下会有一个vulhub的文件夹 搭建漏洞环境 cd vulhub/activemq/CVE-2016-3088/ ser...

2019-07-04 21:14:58 926 0

原创 kali2.0部署docker

测试环境 系统:Kali2.0 x64 参考链接 http://blog.csdn.net/u013814153/article/details/53925790 开始部署 Docker需要Linux Kernels 大于3.10并且是64-bit的机器,用uname -a可以查看是否符合要求...

2019-07-04 21:10:52 531 0

原创 XSS编码问题以及绕过

常用的编码 URL编码:一个百分号和该字符的ASCII编码所对应的2位十六进制数字。 例如“/”的URL编码为%2F # : %23 ; . :%2e ; + :%2b;< :%3c >: %3e ; ! :%21 ; 空格:%20; &: %26; (:%28; ): %29...

2019-07-04 20:35:40 3327 0

原创 CSRF漏洞

内容 1.CSRF漏洞的概述 2.CSRF漏洞的原理 3.CSRF漏洞的分类与利用 4.CSRF漏洞的挖掘与防御 背景 CSRF(Cross-Site Request Forgery,跨站请求伪造),它是一种常见的Web攻击方式,很多开发者对它很陌生。它在2007年曾被列为互联网20大安全隐患之一...

2019-07-04 20:27:47 773 0

原创 Web安全之SSRF漏洞

内容 SSRF漏洞的危害 SSRF漏洞的挖掘 SSRF漏洞的防御 SSRF漏洞原理概述 背景 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 ...

2019-07-04 20:03:58 8354 1

原创 sqlmap绕过过滤的tamper脚本分类汇总

2019-07-04 19:42:21 489 0

原创 Web安全之文件包含漏洞

什么是文件包含 程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件。而无需再次编写,这种 文件调用的过程一般被称为文件包含。 例如:include “conn.php” PHP中常见包含文件函数 include() 当使用该函数包含文件时,只有代码执行到inclu...

2019-07-04 19:34:27 2031 0

原创 Web安全之XSS漏洞

同源策略 同源策略(Same-Origin Policy),就是为了保证互联网之中,各类资源的安全性而诞生的产物,它实际上是一个众多浏览器厂商共同遵守的约定。同源策略是浏览器中最基本的安全功能。缺少同源策略,很多浏览器的常规功能都会受到影响,可以说Web是构建在同源策略基础之上的。 如果Web世界...

2019-07-04 16:47:59 1440 0

原创 常见的上传绕过以及解析漏洞

前端绕过 服务端验证绕过 编辑器漏洞 配合解析漏洞突破上传 通常一个文件以HTTP协议进行上传时,将以POST请求发送WEB服务器,WEB服务器接收到请求并同意后,用户与WEB服务器将建立连接,并传输data。 常见上传检测规则 A. 客户端javascript检测(通常为检测文件拓展名) B....

2019-07-04 08:55:12 714 0

原创 文件上传漏洞

文件上传漏洞的概述 上传漏洞的危害 文件上传漏洞的利用 文件上传漏洞的防御 1、背景 现代的互联网的Web应用程序中,文件上传是一种常见的要求,因为它有助于提高业务效率。在Facebook和Twitter等社交网络的Web应用程序中都允许文件上传功能。在博客,论坛,电子银行网络,YouTube和...

2019-07-03 21:14:22 2373 0

原创 http头部注入

http头部注入 我们首先可以在浏览器设置手动代理模式,然后通过burpsuite进行代理配置后进行抓包,如下是一个网站登录页面的http头部信息: POST /baji/check_login.php HTTP/1.1 Host: 192.168.120.137 User-Agent: Mozi...

2019-06-25 19:21:53 1938 0

原创 sqlmap介绍及简单实用

Sqlmap的使用 一、Sqlmap简介 sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, ...

2019-06-25 15:49:56 1060 0

原创 sql注入-error、boolean、time-based and 宽字节

1、Error-based SQL injection 利用前提: 页面上没有显示位,但是需要输出SQL语句执行错误信息。比如mysqli_error() 优点: 不需要显示位 缺点: 需要输出mysqli_error( )的报错信息 通过floor报错 select 列1(count())...

2019-06-24 19:30:11 585 0

原创 sql注入-union select

什么是SQL注入 SQL注入(Sql Injection ) 是一种将SQL语句插入或添加到应用(用户)的输入参数中的攻击 这些参数传递给后台的SQL数据库服务器加以解析并执行 哪里存在SQL注入? GET POST HTTP头部注入 Cookie注入 任何客户端可控,传递到服务器的变量,...

2019-06-24 19:08:31 4049 2

原创 解决kubectl get pods时 No resources found.问题

环境: VMware Fusion上安装的cenos7 使用yum直接安装etcd, kubectl,按顺序启动如下服务:etcd, docker, kube-apiserver, kube-controller-manager, kube-scheduler, kubelet, kube-pro...

2019-01-20 12:15:13 4275 0

原创 Kubernetes的安装

本文建议采用VIrtualBox或者VMware Workstation在本机虚拟一个64位的CentOS 7虚拟机作为学习环境,虚拟机采用NAT的网络模式一边能够连接外网,然后按照以下步骤快速安装Kubernetes。 (1)关闭CentOS自带的防火墙服务: # systemctl disab...

2019-01-19 11:35:11 124 0

原创 在Ubuntu系统中安装Docker

对于Ubuntu系统,Docker现在只啊吃以下版本。 Ubuntu Xenial 16.04 (LTS) Ubuntu Wily 15.10 Ubuntu Trusty 14.04 (LTS) Ubuntu Precise 12.04 (LTS) 下面我们将分别介绍不同Ubuntu系统版本对应...

2019-01-19 11:18:55 566 0

原创 Docker核心原理之cgroups

cgroups资源限制 上一篇文章中,我们了解了Docker的资源隔离技术namespace,通过系统调用构建了一个相对隔离的shell环境。也可以称之为一个简单的容器。接下来将讲解另一个强大的内核工具-cgroups。它不仅可以限制被namespace隔离起来的资源,还可以为资源设置权重、计算使...

2019-01-12 22:04:38 693 0

原创 Docker核心原理之namespace

Docker背后的内核知识 当谈论docker时,常常会聊到docker的实现方式。很多开发者都知道,docker容器本质上是宿主机的进程,Docker通过namespace实现了资源隔离,通过cgroups实现了资源限制,通过写时复制机制(copy-on-write)实现了高效的文件操作。当进一...

2019-01-12 14:30:44 3897 0

原创 mac包安装kafka

安装 kafka (安装kafka前应在本地先安装java的jdk,因为zookeeper需要依赖java虚拟机) 下载地址:https://kafka.apache.org/down… wget http://mirrors.shuosc.org/apache/kafka/2.0.0/kafka...

2018-11-14 14:15:05 726 0

原创 mac生成linux下可执行的.go二进制文件

在项目的根目录下使用下面命令 $ env GOOS=linux GOARCH=amd64 go build -o 指定文件名 main.go

2018-11-13 16:14:57 3241 0

原创 kafka for mac安装

mac kafka 环境搭建: 第一步:安装zookeeper,因为安装kafka需要zookeeper的环境依赖。教程可以看看我的博客的上一篇。 第二步:$ brew install kafka 执行结果warning什么的不用管,没有error说明安装没问题,成功了。 安装目录: /usr/l...

2018-11-07 13:34:41 539 0

原创 zookeeper for mac安装

安装zookeeper: 第一步:$ xcode-select --install 第二步:$ brew install zookeeper zookeeper环境目录: $ cd /usr/local/etc/zookeeper zookeeper操作: 启动zookeeper: $ zkSer...

2018-11-07 13:30:21 467 0

原创 go项目中使用数据库的配置文件

首先在项目的根目录下创建一个config.json文件,内容如下: { "database": { "Dialect": "mysql", "Database": "*...

2018-10-25 10:33:59 1844 0

原创 go-ipfs-api在项目中的使用

go-ipfs-api在项目中的使用: package ipfs import ( "github.com/ipfs/go-ipfs-api" "fmt" "bytes" "io/ioutil" ) var sh ...

2018-10-25 10:26:15 1729 0

原创 solidity编码规范

命名规范 文件、合约、库、事件、枚举及结构体命名 当文件里只包含一个合约时,文件命名应该与合约命名相同。 当文件里包含不只一个合约时,文件命名应该根据项目内容合理命名。 合约、库、事件及结构体命名应该使用单词首字母大写的方式,这个方式也称为:驼峰式命名法,比如:SimpleToken,...

2018-08-13 16:00:46 387 0

原创 Fabric--简单的资产Chaincode

简单的资产Chaincode 应用程序是一个基本样本链代码,用于在分类账上创建资产 安装Go及Docker, Docker-compose, 并配置Go相应的环境变量 创建目录 为chaincode应用程序创建一个目录作为其子目录 $ mkdir -p $GOPATH/src/t...

2018-07-06 11:25:03 937 0

原创 Fabric--区块链应用开发

区块链应用开发 简介 数字货币曾是区块链技术的唯一应用场景 对智能合约的支持突破了场景限制, 丰富了区块链应用的适用范围, 可以支持多行业、大规模的商业应用 区块链应用 区块链应用: 一般由若干部署在区块链网络中的智能合约, 以及调用这些智能合约的应用程序组成 用户专注于与业...

2018-07-06 11:24:08 4707 0

提示
确定要删除当前文章?
取消 删除