- 博客(887)
- 收藏
- 关注
原创 网络安全新手必读:一文轻松掌握Kali Linux核心命令与基础概念!
想象这个场景:当你第一次打开 Kali Linux,桌面上是琳琅满目的黑客工具,终端里闪烁的光标正在等待你的输入。然而,除了几个最基础的 cd、ls 命令外,你完全不知从何下手。在论坛中看到高手们行云流水般敲打各种命令轻松达成目标,而你却需要不断搜索最基本的操作方法。这种感觉,就像拿着一把瑞士军刀,却只会用它来开瓶盖。事实上,很多人在开始学习网络安全时都会遇到这个问题:工具虽然强大,但因为不熟悉命令行而寸步难行。这就像在玩游戏时,你拥有最顶级的装备,却不懂得如何使用最基本的技能。
2025-01-18 11:40:37 266
原创 【网络安全渗透测试零基础入门】之CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
大家好,我是强哥。今天给大家分享一下网络安全渗透测试入门阶段文件CSRF漏洞概述和原理教程本文主要讲解CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除。
2025-01-18 11:29:55 470
原创 渗透测试 | SQL注入中的WAF绕过,黑客技术零基础入门到精通实战教程!
WAF(Web Application Firewall)即网络应用防火墙,是一种专门为了保护网络应用(如网站和web服务)而设计的防火墙。它的主要任务是过滤、监控和阻止恶意的网络流量和攻击尝试,从而保护web应用免受各种在线威胁,例如SQL注入、跨站脚本(XSS)攻击、文件包含攻击和其它形式的攻击。在当今网络安全的复杂环境中,Web应用防火墙(WAF)作为防御工具,提供了重要的第一道防线,旨在抵御各种在线威胁,如SQL注入和跨站脚本攻击。
2025-01-17 16:00:25 791
原创 ios下某浏览器小说去广告分析与Hook,黑客技术零基础入门到精通实战教程!
几年前,我在用某浏览器看小说的时候,那会就被那个广告折磨的不要不要的,想着找学(po)习(jie)版本,但是逛了一圈没有找到。那咋办,自己动手呗~~然而,那会太菜了,分析了好久都没研究出来怎么弄。。。过了几年,我没有变得更厉害,但是我想再试试,于是有了本文。。> ps:处于学(hai)习(pa)的目的,本文只会给出核心的思路,不是那种一步步的保姆级教程,看的师傅要注意了~
2025-01-17 15:05:30 462
原创 想做黑客?先来学习 SQL 注入,一文带你学会!黑客技术零基础入门到精通教程建议收藏!
SQL 注入(SQL Injection)是一种常见的网络攻击手段,攻击者通过在 Web 应用程序的输入字段中插入恶意 SQL 代码,欺骗后台数据库执行非授权的 SQL 语句。SQL 注入可以用于获取、篡改或删除数据库中的数据,甚至可以用于执行系统命令,导致数据泄露、数据破坏或服务器被控制等严重后果。当 Web 应用程序没有正确验证用户输入时,攻击者可以在输入字段中插入 SQL 代码。应用程序后端通常将用户输入与 SQL 查询拼接在一起,形成完整的数据库查询语句。
2025-01-15 17:37:20 1027
原创 Kali Linux安装+获取root权限+远程访问!保姆级教程建议收藏!
kali是linux其中一个发行版,基于Debian,前身是BackTrack(简称BT系统)。kali系统内置大量渗透测试软件,可以说是巨大的渗透系统,涵盖了多个领域,如无线网络、数字取证、服务器、密码、系统漏洞等等,知名软件有:wireshark、aircrack-ng、nmap、hashcat、metasploit-framework(msf)。
2025-01-15 17:34:59 727
原创 零基础掌握SSH安全登录:从入门到实战全攻略建议收藏!
SSH 或 Secure Shell 协议是一种远程管理协议,允许用户通过 Internet 访问、控制和修改其远程服务器。SSH 服务是作为未加密 Telnet 的安全替代品而创建的,它使用加密技术来确保进出远程服务器的所有通信都以加密方式进行。
2025-01-14 14:16:22 889
原创 记录一次攻防演练—没有0day如何拿下靶标!黑客技术零基础入门到精通教程建议收藏!
存在用户遍历漏洞-通过弱口令爆破进入后台个人资料头像处上传webshell此处有一个比较好玩的点,当我连上webshell,发现是iis权限,再想上传哥斯拉的aspx的webshell,网页显示上传成功且返回路径,访问却显示404,我用冰蝎webshell也上传不上去显示哈希匹配错误。
2025-01-14 14:15:41 603
原创 一文教你解决kali docker拉取镜像慢的问题,网络安全零基础入门到精通实战教程!
Docker Hub 是我们分发和获取 Docker 镜像的中心,但由于服务器位于海外,经常会出现拉取/上传镜像时速度太慢或无法访问的情况。再加上运营方不断对 Docker Hub 的免费使用进行限制,导致我们在国内使用时不尽如意。使用 Docker 时也经常有人拉取镜像速度慢或拉取失败的情况,可以尝试改用国内的 Docker Hub 镜像服务器。
2025-01-13 17:29:54 713
原创 中间人攻击-流量欺骗与流量劫持总结,黑客技术零基础入门到精通实战教程建议收藏!
ARP欺骗是中间人攻击方式中的一项经典攻击手法,该攻击方式可以令受害者错认为攻击者的MAC是网关MAC,从而将全部流量转发至攻击者主机。由于ARP协议的限制,该手段通常用于内网机器通讯时的地址转换。地址解析协议,即ARP(Address ResolutionProtocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;
2025-01-13 17:16:57 701
原创 渗透测试高级技巧:被前端加密后的漏洞测试怎么做?黑客技术零基础入门到精通教程!
本文介绍了两个更贴近实际的靶场:被加密了请求的 SQL 注入(用以学习基本工具使用)请求和响应都被加密的场景(增加熟练度)当然,这个场景并不是 MITM 的全部用法,实际上如果你有其他工具可以测试漏洞,但是无法适配加密套件,Yakit MITM 还可以直接充当加密套件来辅助用户的其他工具测试,等有机会的话,我们再来介绍后续的场景。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
2025-01-10 16:10:54 623
原创 CISP-PTE:记录文件上传系统靶机做题思路(拿Key)渗透测试零基础入门到精通实战教程!
到这里PTE中该文件上传系统靶机的三个Key都拿到了,这个靶机主要是为了考验整体的渗透思路流程,虽然设置的比较简单,但是没有具体的渗透思路的话还是无法拿到全部Key的!文件上传那个地方个人感觉还是比较有趣的,利用了文件名过长会被系统截取包括系统时间在内的前32位字符作为文件名的特性进行Webshell上传,然后利用文件路径泄露来获取Webshell路径!给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
2025-01-10 15:52:21 844
原创 渗透测试高级技巧:破解分析验签与渗透前端JS加密表单,黑客技术零基础入门到精通教程!
经过上面的操作,读者跟随我们的引导,在 Vulinbox 应该基本可以完成一些基本前端加密场景的渗透工作了。但是真实的场景其实很多要比我们实现的这几个靶场要复杂得多。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取。
2025-01-09 20:08:19 1093
原创 实现了一下CSRF原来不像背的那么简单,网络安全零基础入门到精通教程!
之前面试经常被问到 CSRF, 跨站请求伪造大概流程比较简单, 大概就是用户登录了A页面,存下来登录凭证(cookie), 攻击者有诱导受害者打开了B页面, B页面中正好像A发送了一个跨域请求,并把cookie进行了携带, 欺骗浏览器以为是用户的行为,进而达到执行危险行为的目的,完成攻击上面就是面试时,我们通常的回答, 但是到底是不是真是这样呢?难道这么容易伪造吗?于是我就打算试一下能不能实现。
2025-01-09 20:07:39 1184
原创 万字详解内网渗透该怎么学!黑客技术零基础入门到精通实战教程建议收藏!
本文主要记录了作者之前在内网渗透的一个全方面的学习过程,包括如何从外网找到入口点,之后如何提权,然后如何在内网中进行一个信息收集,当存在域的情况下又是怎么收集信息,然后通过代理来进一步横向,不论是一层代理还是两层,本文都有涉及,以及一些常见的代理工具的使用方法、权限维持的手法、痕迹清理、内网渗透过程的整一个渗透思路是怎么样子的做一个简单的分享,同时希望能帮助到像我一样的小白能对内网渗透有进一步的了解,最主要的是让像我一样的菜鸟找到学习的方向和方式。
2025-01-08 20:12:10 955
原创 实战自动化加解密&加密场景下的暴力破解,黑客技术零基础入门到精通实战教程!
最后也是成功爆破除出了一些可利用手机号,并和刚开始的猜想一样,泄露了一些敏感数据给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取👉1.成长路线图&学习规划👈要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
2025-01-08 17:53:51 1058
原创 如何优雅且暴力的针对APP有校验加密的情况做测试?网络安全零基础入门到精通实战教程!
前面介绍过很多篇关于web站点以及微信小程序如何做js逆向的案例,有兴趣的老铁可以翻一翻斯叔前面的文章。今天介绍一下app逆向的思路。如果各位老铁对文章有什么意见建议,或者是安全小白刚刚接触安全不知道怎么学习,又或者是渗透测试实习生即将毕业对未来充满了问号等等都可以下方二维码联系我哈,说出你的困惑以及现状,跟强哥1V1激情连麦,强哥可以根据大家的实际情况免费给大家做一做职业规划哈给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
2025-01-07 16:47:55 670
原创 【RCE剖析】从0-1讲解RCE漏洞绕过,Windows与Linux/RCE漏洞绕过方式总结----实战解析
本文讲解了windows/linux的常见命令以及命令执行漏洞的绕过方式,靶场环境为ctfhub,分别有命令注入、cat过滤、空格过滤、过滤目录分隔符、运算符过滤,这几种绕过方式。
2025-01-07 15:54:42 1054
原创 2025最新版漏洞挖掘教程,一文讲清挖漏洞需要掌握哪些技术,网络安全零基础入门到精通收藏这篇就够了!
经常有小伙伴问我,为什么自己总是挖不到漏洞呢?渗透到底是什么样的流程呢?全篇文章内容较长,请耐心观看!渗透测试其实就是通过一些手段来找到网站,APP,网络服务,软件,服务器等网络设备和应用的漏洞,告诉管理员有哪些漏洞,怎么填补,从而防止黑客的入侵。
2025-01-06 16:40:21 1100
原创 2025最全CTF入门指南、CTF夺旗赛及刷题网站(建议收藏!)
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
2025-01-06 16:39:12 949
原创 【网络安全零基础入门】一文搞懂Javascript实现Post请求、Ajax请求、输出数据到页面、实现前进后退、文件上传
重点是meta元素,其属性“HTTP-EQUIV”设置为“refresh”时,会自动刷新当前页面,此属性包含两个重要的设置:CONTENT和URL,CONTENT表示自动刷新的时间间隔,URL表示刷新后的页面地址。后退和前进是页面浏览时最常用的操作,系统自带浏览器可以完成这三个功能,在Web应用系统中,有时需要屏蔽浏览器的工具栏,此时需要使用代码实现页面的这三个操作。需要注意的是,由于安全限制,JavaScript在浏览器中无法直接访问文件的内容,只能通过用户主动选择文件才能获取到。作为请求的主体数据。
2025-01-04 17:11:28 611
原创 【网络安全渗透测试零基础入门】之CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
大家好,我是强哥。今天给大家分享一下网络安全渗透测试入门阶段文件CSRF漏洞概述和原理教程本文主要讲解CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除。
2025-01-04 17:10:42 730
原创 NISP和CISP证书:一文告诉你,它们的关系和真正含金量?是否值得考?
注册信息安全专业人员,英文名称 Certified Information Security Professional,简称 CISP,是面向信息安全企业、信息安全咨询服务机构、信息安全测评机构、政府机构、社会各组织、团体、大专院校以及企事业单位中负责信息系统建设、运行维护和管理工作的信息安全专业人员所颁发的专业资质证书。对于计算机专业的学子们来说,如何在激烈的就业市场中脱颖而出,成为他们亟需思考的问题。持有CISP证书的团队或个人能够在投标中获得1-5分不等的加分,这在激烈的竞争中是一个重要的优势。
2025-01-03 16:45:33 1133
原创 计算机网络知识点全面总结(非常详细)零基础入门到精通,收藏这篇就够了
按照网络的作用范围:广域网(WAN)、城域网(MAN)、局域网(LAN);按照网络使用者:公用网络、专用网络。
2025-01-03 16:23:57 981
原创 拿下证书站两个接口SQL盲注,黑客技术零基础入门到精通实战教程!
而且经过测试,还发现空格被过滤了,这对我们往下获取数据影响是非常大的,这时因为我们为了闭合,payload的结尾只能是这样:’and’1’=’1,所以可供我们发挥的只有在中间进行注入,即在插入一个’and’1’=’1,即。到这里,已经可以提交了,不过这个接口都有注入了,那还剩一个激活账号的功能,说不定也有注入。在降低到718时达到报错的临界,即exp(709),因此数据库的长度为9。很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有。
2025-01-02 20:40:29 910
原创 利用shuji还原webpack打包源码,网络安全零基础入门到精通实战教程!
Webpack是一个用于构建现代 Web 应用程序的静态模块打包工具。它是一个高度可配置的工具,通过将应用程序的所有资源(例如JavaScript、CSS、图片等)视为模块,并使用依赖关系来管理它们之间的引用,将它们打包成一个或多个最终的静态资源文件。大家可以看我之前有一篇webpack接口泄露的edu挖掘文章。
2025-01-02 20:33:55 802
原创 SSRF服务端请求伪造详解(附带ctfhub靶场实战-保姆级)网络安全零基础入门到精通实战教程!
SSRF(Server-side Request Forgery),服务端请求伪造。是一种由攻击者构造请求,由服务端发起请求的安全漏洞,一般情况况下SSRF攻击的目标是从外网无法访问到的内部系统 (正因为它是由服务端发起的,所以它能够请求到与自身相连而与外网隔离的内部系统)。
2024-12-31 15:51:07 1102
原创 一篇文章教你玩转入门级SQL注入实战!黑客技术零基础入门到精通教程!
SQL注入原理可描述为通过用户可控参数中注入SQL语法,在程序员未对输入数据合法性做判断或过滤不严情况下,破坏原有SQL结构,达到编写程序时意料之外的结果。上篇文章已经搭建好了SQLi-labs靶场,一共包含65关,适用于GET和POST场景。接下来让我们开始SQL注入实战!
2024-12-31 15:23:17 935
原创 一个Nmap脚本,就能击破你的Web应用防线?黑客技术零基础入门到精通实战教程
从基础的端口扫描和HTTP方法枚举开始,通过SQL注入检测、目录枚举等漏洞检测手段,再到HTTP头部分析和XSS漏洞检测等安全配置检查,最后延伸到文件包含和重定向漏洞等高级测试技术,构建了一个完整的Web安全测试体系。通过自动化脚本的实现,我们可以高效地完成这些测试工作,同时结合系统加固、监控告警和应急响应等防护措施,形成了一个闭环的安全防护体系。这些技术和方法的综合运用,不仅能帮助安全人员快速发现系统中的潜在威胁,还能通过持续的安全评估和改进,切实提高Web应用的安全性。
2024-12-30 21:25:51 913
原创 Kali高手都在用的环境变量技巧,学会这些就能实现隐蔽渗透!黑客技术零基础入门到精通教程
变量在计算机中是绕不开的话题,它就像是一个购物袋:可以往里面放东西(赋值)可以拿出来看看里面有什么(读取)可以把里面的东西换成别的(修改)用完可以扔掉(删除)变量本质上是一组键值对,格式为KEY=value。
2024-12-30 21:21:14 1124
原创 实战分享记录一次某商城0元购和SQL注入漏洞详细操作(学会了你也可以轻松实现!)
这次给大家分享的是一个商城的0元购和SQL注入漏洞,自我感觉写的还是蛮详细的,尽量让新手们都能够看的懂。这个零元购很多人都没有亲自去挖过,下面我给大家分享的案例可以仔细看看,然后看完你们就可以多去那种商城测试下,然后打一波零元购,还有就是付款页面的前端校验,看看能不能通过bp进行一个绕过。支付漏洞是高风险漏洞也属于逻辑漏洞,通常是通过篡改价格、数量、状态、接口、用户名等传参,从而造成小钱够买大物甚至可能造成0元购买商品等等,凡是涉及购买、资金等方面的功能处就有可能存在支付漏洞。
2024-12-27 17:17:58 891
原创 2024最新版漏洞挖掘教程,一文讲清挖漏洞需要掌握哪些技术,网络安全零基础入门到精通收藏这篇就够了!
经常有小伙伴问我,为什么自己总是挖不到漏洞呢?渗透到底是什么样的流程呢?全篇文章内容较长,请耐心观看!
2024-12-27 17:17:22 684
原创 提高黑客办公效率神器 【Vim工具命令大全】黑客技术零基础入门到精通实战教程!
vi/vim工具是一个上古神器了,经久不衰,最nb编辑器,熟练掌握vi/vim可以提高办公效率。
2024-12-26 17:50:47 711
原创 六年时间【万字总结】—kali Linux系统的各种报错问题解决方法,网络安全零基础入门到精通实战教程!
是从玩kali linux做主力物理机五六年时间中遇到问题,下面基本上是算是一个小总结吧,从Ubuntu到Kali到Arch在到Kali都是泪每一个问题都是要花费半天,甚至几个星期去解决的问题,下面问题总共时长估计有小半年花费时间研究问题解决和系统美化,折腾过linux应该都董不管是美化还是问题解决都是一个很费时的事情从原理解决根本问题!!!!!!!!!!,下面每一步都从原理性讲解。
2024-12-26 17:42:35 904
原创 实现了一下CSRF原来不像背的那么简单,网络安全零基础入门到精通教程!
之前面试经常被问到 CSRF, 跨站请求伪造大概流程比较简单, 大概就是用户登录了A页面,存下来登录凭证(cookie), 攻击者有诱导受害者打开了B页面, B页面中正好像A发送了一个跨域请求,并把cookie进行了携带, 欺骗浏览器以为是用户的行为,进而达到执行危险行为的目的,完成攻击上面就是面试时,我们通常的回答, 但是到底是不是真是这样呢?难道这么容易伪造吗?于是我就打算试一下能不能实现。
2024-12-25 17:54:52 959
原创 全面信息收集指南:渗透测试中的关键步骤与技巧!网络安全零基础入门到精通实战指南!
信息收集,又称资产收集,是渗透测试过程中至关重要的前期工作。通过系统化地收集目标的关键信息,为后续的测试和攻击奠定基础。只有全面掌握目标的信息,才能更高效地找到潜在的突破点。域名及子域名信息:识别目标站点的主域名及其关联子域名。目标站点基本信息:获取站点的架构、技术栈及功能模块。目标真实IP地址:绕过CDN等防护措施,直接定位服务器地址。敏感目录及文件:查找暴露的敏感数据或未授权访问的资源。开放端口及服务信息:枚举端口对应的服务及版本信息,识别潜在漏洞。中间件和技术组件。
2024-12-25 17:53:16 985
原创 【网络安全渗透测试零基础入门】之什么是文件包含漏洞&分类(非常详细)收藏这一篇就够了!
1.文件包含漏洞概述和SQL注入等攻击方式一样,文件包含漏洞也是一种注入型漏洞,其本质就是输入一段用户能够控制的脚本或者代码,并让服务端执行。什么叫包含呢?以PHP为例,我们常常把可重复使用的函数写入到单个文件中,在使用该函数时,直接调用此文件,而无需再次编写函数,这一过程叫做包含。有时候由于网站功能需求,会让前端用户选择要包含的文件,而开发人员又没有对要包含的文件进行安全考虑,就导致攻击者可以通过修改文件的位置来让后台执行任意文件,从而导致文件包含漏洞。
2024-12-24 17:24:08 674
原创 记一次用黑客技术后门爆破到提权实战案例
这次的目标是一个英国小网站,目的是拿下这个站点指定文件的修改权限。习惯性的在渗透某个目标之前先对目标进行基本的信息搜集,这样在后面的渗透过程中可以省下不少时间,此次的渗透可以说80%的运气,20%的经验才顺利拿到目标权限。
2024-12-24 17:23:12 570
原创 网络安全新手必读:一文轻松掌握Kali Linux核心命令与基础概念!
想象这个场景:当你第一次打开 Kali Linux,桌面上是琳琅满目的黑客工具,终端里闪烁的光标正在等待你的输入。然而,除了几个最基础的 cd、ls 命令外,你完全不知从何下手。在论坛中看到高手们行云流水般敲打各种命令轻松达成目标,而你却需要不断搜索最基本的操作方法。这种感觉,就像拿着一把瑞士军刀,却只会用它来开瓶盖。事实上,很多人在开始学习网络安全时都会遇到这个问题:工具虽然强大,但因为不熟悉命令行而寸步难行。这就像在玩游戏时,你拥有最顶级的装备,却不懂得如何使用最基本的技能。
2024-12-23 17:13:20 1111
原创 你的前端加密真的“加密“了吗?网络安全零基础入门到精通教程建议收藏!
在密码传输中,通常会将密码使用MD5算法进行摘要计算后再传输。然而,MD5算法存在一些安全问题。首先,虽然MD5算法是单向的,无法将摘要值还原到原始数据。这意味着即使传输被截获,攻击者也无法直接获取密码。但是,由于MD5的摘要值是固定长度的,攻击者可以进行穷举搜索,通过尝试大量的可能性与预先计算的MD5值进行对比,找到相应的密码。此外,MD5算法已经被发现存在碰撞漏洞,即两个不同的数据可以生成相同的MD5摘要值。通过这个漏洞,攻击者可以找到与目标密码相同的MD5摘要值,绕过密码验证。
2024-12-23 16:29:51 770
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人