- 博客(787)
- 收藏
- 关注
RSS订阅原创 实战分享记录一次某商城0元购和SQL注入漏洞详细操作(学会了你也可以轻松实现!)
哈喽大家好,我是强哥。这次给大家分享的是一个商城的0元购和SQL注入漏洞,自我感觉写的还是蛮详细的,尽量让新手们都能够看的懂。这个零元购很多人都没有亲自去挖过,下面我给大家分享的案例可以仔细看看,然后看完你们就可以多去那种商城测试下,然后打一波零元购,还有就是付款页面的前端校验,看看能不能通过bp进行一个绕过。支付漏洞是高风险漏洞也属于逻辑漏洞,通常是通过篡改价格、数量、状态、接口、用户名等传参,从而造成小钱够买大物甚至可能造成0元购买商品等等,凡是涉及购买、资金等方面的功能处就有可能存在支付漏洞。
2024-11-12 17:55:08
572
原创 2024版最新burpsuite安装使用教程(非常详细)小白零基础入门到精通教程!
Burp Suite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效地完成对Web应用程序的渗透测试和攻击。Burp Suite由Java语言编写,基于Java自身的跨平台性,使这款软件学习和使用起来更方便。Burp Suite不像其他自动化测试工具,它需要手工配置一些参数,触发一些自动化流程,然后才会开始工作。Burp Suite可执行程序是Java文件类型的jar文件,免费版可以从官网下载。
2024-11-12 17:08:01
450
原创 2024最新版网络安全面试题精讲—万字详解黑客技术和网络安全经典题目,小白学习网络安全看这一篇就够了!
首先,要了解到,大多数的漏洞扫描器的原理基本一样,除金融和其它特殊行业一些扫描器,比较智能,可以借助AI等辅助探测逻辑漏洞,其它基本基于指纹识别,网站架构等去匹配,然后调用POC库去进行漏洞扫描,当然也有高并发所有POC扫描的,这也弊端就是容易将业务扫崩像我用过的扫描器:启明星辰漏扫(WEB+主机),绿盟漏扫,安恒漏扫等,个人感觉各有千秋,厂商之间的扫描漏洞一部分来自于CNVD、CNNVD、CVE等,一部分来着自家挖掘,最后就是自家SRC漏洞平台合集首先,考虑这个问题比较基础,大概就是是否具备漏扫技能。
2024-11-11 16:13:15
779
原创 程序员必看!Redis服务器被攻击后该如何安全加固?这些方法你一定要知道!网络安全零基础入门到精通教程
这是小强给粉丝盆友们整理的网络安全渗透测试入门阶段Redis未授权访问漏洞的教程。Redis安全漏洞影响:1、 Redis因配置不当可以未授权访问,很容易被攻击者恶意利用。如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录、控制服务器,引发重要数据泄露或丢失,严重威胁用户业务和数据安全,风险极高,业界将此漏洞定位为高危漏洞。
2024-11-11 16:11:41
517
原创 学习干货|万字全面解析网络安全、黑客技术,小白看完面试网安工作和护网蓝队初级竟然秒通过!建议收藏!
本次环境以DVWA靶场(不太安全的网站)及CTF题目(夺旗赛)先对OWASP TOP10漏洞原理通俗概述,接着对基础代码解析,然后执行的命令落地到本地复现,前端进行复现后分析流量包,植入CTF题目,最后演示WAF流量经过,以及最高级别代码防护分析包括最终流程图,分析较为详细,对于初学者,网安爱好者及蓝队初级、运维等比较友好,在正常面试安全岗位时,也可能会问到理论问题,安全设备的了解,链路流量的走向,包括HVV蓝队初级最低也会问到常见攻击手法的理解和防护!
2024-11-10 18:20:06
957
原创 2024最新版网络安全面试题精讲—万字详解黑客技术和网络安全经典题目,小白学习网络安全看这一篇就够了!
首先,要了解到,大多数的漏洞扫描器的原理基本一样,除金融和其它特殊行业一些扫描器,比较智能,可以借助AI等辅助探测逻辑漏洞,其它基本基于指纹识别,网站架构等去匹配,然后调用POC库去进行漏洞扫描,当然也有高并发所有POC扫描的,这也弊端就是容易将业务扫崩像我用过的扫描器:启明星辰漏扫(WEB+主机),绿盟漏扫,安恒漏扫等,个人感觉各有千秋,厂商之间的扫描漏洞一部分来自于CNVD、CNNVD、CVE等,一部分来着自家挖掘,最后就是自家SRC漏洞平台合集首先,考虑这个问题比较基础,大概就是是否具备漏扫技能。
2024-11-10 16:58:02
952
原创 2024版最新最全的Kali Linux操作系统安装使用教程(非常详细)超十万字解说Kali零基础入门到精通教程,收藏这一篇就够了
Kali Linux 的核心基于 Debian-testing 分支构建,专为网络分析师、渗透测试员和网络安全专业人员设计。它是由 Offensive Security 维护的基于 Debian 的 Linux 发行版,由 Mati Aharoni 和 Devon Kearns 开发。Kali Linux 附带了全面的预安装安全工具集,可用于各种目的的安全测试。它是一款开源操作系统,可以免费下载和使用。Linux系统中运行的一种特殊程序在用户和内核之间作为一名“翻译官”
2024-11-07 11:42:00
950
原创 【网络安全安全管理入门教程】信息安全-数据安全(数据备份与恢复),收藏这一篇就够了
在当今这个数据驱动的时代,数据库已成为企业运营的核心资产之一。无论是处理日常交易、支持在线服务还是进行复杂的分析决策,高效且可靠的数据库管理系统都是不可或缺的基础架构组成部分。然而,随着数据量的激增以及对业务连续性和信息安全要求的不断提高,如何确保这些宝贵的信息资源得到妥善保护成为了一个亟待解决的问题。为此,选择合适的备份解决方案对于防止因硬件故障、软件错误乃至恶意攻击等原因导致的数据丢失至关重要。
2024-11-07 11:40:28
801
原创 把代码藏起来!一文讲清Shell和Perl脚本加密与可执行文件编译技术!
脚本加密和编译技术为确保源代码安全性提供了有效的手段。本文详细介绍了使用流行工具和方法对 Shell 脚本和 Perl 脚本进行加密和编译的步骤,旨在帮助开发者保护自己的代码和敏感信息。通过使用shc工具,我们能够将 Shell 脚本编译成二进制格式,使源代码不易被读取和篡改。同时,利用base64编码和openssl加密等方法,进一步增强了脚本在存储和传输过程中的安全性。在 Perl 方面,允许开发者将脚本及其依赖项打包成独立的可执行文件,极大地方便了在不同环境中的运行,而perlcc。
2024-11-06 13:53:53
739
原创 纯小白零基础学黑客技术,该怎么学?这两个误区你一定要知道(少走十年弯路!)
1、以编程基础为方向的自学误区。从编程开始掌握,前端后端、通信协议、什么都学。花费时间太长、实际向安全过渡后可用到的关键知识并不多。很多安全函数知识甚至名词都不了解2、以黑客技能、兴趣为方向的自学误区:疯狂搜索安全教程、加入各种小圈子,逢资源就下,逢视频就看,只要是黑客相关的。就算在考虑资源质量后的情况下,能学习到的知识点也非常分散,重复性极强。代码看不懂、讲解听不明白,一知半解的情况时而发生。在花费大量时间明白后,才发现这个视频讲的内容其实和自己看的其他知识点是一样的。那该怎么做?
2024-11-06 13:49:29
788
原创 【网络安全渗透测试零基础入门】Vulnhub靶机Kioptrix level-4 多种姿势渗透详解,收藏这一篇就够了!
这是强哥给粉丝盆友们整理的网络安全渗透测试入门阶段Vulnhub靶场实战阶段教程。使用enum4linux枚举Samba主机息。它可以帮助您发现网络中的共享文件夹、用户列表、组列表、密码策略等信息。发现一些用户名 以及版本信息
2024-11-05 15:51:35
425
原创 【网络安全零基础入门】之MSF使用教程永恒之蓝漏洞扫描与利用教程,全文干货建议收藏!
Metasploit框架(Metasploit Framework, MSF)是一个开源工具,旨在方便渗透测试,它是由Ruby程序语言编写的模板化框架,具有很好的扩展性,便于渗透测试人员开发、使用定制的工具模板。Metasploit可向后端模块提供多种用来控制测试的接口(如控制台、 Web 、 CLI )。推荐使用控制台接口,通过控制台接口,你可以访问和使用所有Metasploit的插件,例如Payload、利用模块、 Post模块等。
2024-11-05 15:42:44
985
原创 手把手教你Windows系统服务提权(含提权实验+环境配置教程),网络安全零基础入门到精通教程建议收藏!
如果目标主机的用户在配置服务时存在疏忽,使低权限用户对高权限下运行的系统服务拥有更改服务配置的权限(SERVICE_CHANGE_CONFIG或SERVICE_ALL_ACCESS),即可通过该低权限用户修改服务启动时的二进制文件路径,通过修改服务启动文件的路径“ binpath”,将其替换为恶意程序的路径,这样服务启动时便会运行恶意程序。由于大多数系统服务是system权限启动,如果让服务启动时执行其他程序,该程序就可以随着服务的启动获得系统权限,达到提权目录。
2024-11-01 14:53:31
829
原创 把代码藏起来!一文讲清Shell和Perl脚本加密与可执行文件编译技术!
脚本加密和编译技术为确保源代码安全性提供了有效的手段。本文详细介绍了使用流行工具和方法对 Shell 脚本和 Perl 脚本进行加密和编译的步骤,旨在帮助开发者保护自己的代码和敏感信息。通过使用shc工具,我们能够将 Shell 脚本编译成二进制格式,使源代码不易被读取和篡改。同时,利用base64编码和openssl加密等方法,进一步增强了脚本在存储和传输过程中的安全性。在 Perl 方面,允许开发者将脚本及其依赖项打包成独立的可执行文件,极大地方便了在不同环境中的运行,而perlcc。
2024-11-01 14:37:02
866
原创 【网络安全渗透测试教程】BurpSuite密码爆破实例演示,小白也能轻松学会!
这是强哥给粉丝盆友们整理的网络安全渗透测试入门密码暴力猜解教程本文主要讲解Burpsuite密码破解。环境准备server 2008,Kali。然后将他们的网卡设置为nat模式。打开搭建的靶场,将难度等级设置为最低。
2024-10-31 16:00:52
1111
原创 CTF-OS,一个专门为CTF设计的操作系统,网络安全零基础入门到精通教程
CTF-OS是探姬为CTF比赛特制的虚拟机,封装多版本工具集与系统,适合CTF新手、各行业人士及安全工作者使用,尤其适合不愿在工作机安装特殊软件的用户。注意,CTF不同于渗透测试,本虚拟机专为CTF赛事人员定制。如果你也想学习CTF那么我特意准备好了一封CTF学习资料2000页的PDF白皮书一共1800多页的学习资料分享给你,还有各种渗透学习工具。我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书学习路线以及视频教程等,需要的小伙伴可以扫描下方二维码或链接免费领取~
2024-10-31 15:59:28
1194
原创 【网络安全管理入门必看】应急响应之挖矿木马实战演练教程,建议收藏!
挖矿木马是一种恶意软件,它在未经用户许可的情况下,利用用户的计算资源来挖掘加密货币,从而为攻击者带来非法收益。这类软件通常通过多种手段传播,例如利用系统漏洞、弱密码爆破、伪装正常软件等方法感染目标设备。
2024-10-30 14:23:51
1523
原创 【网络安全渗透测试零基础入门】之IP源地址欺骗与dos攻击,零基础入门到精通
这是我给粉丝盆友们整理的网络安全渗透测试入门阶段dos与ddos渗透与防御第1篇。靶机:seedubuntu 12.01,IP:192.168.199.134攻击机:Kali-2020.4,IP:192.168.199.129工具:netwox我给大家准备了一份全套《网络安全入门+进阶学习资源包》包含各种工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
2024-10-30 14:16:48
490
原创 分享2024年黑客最常用的10款软件工具(包含编程|密码破译|漏洞扫描等),学会它你也可以成为黑客高手!
以下所有这些工具都是捆绑在一起的Linux发行版,如Kali Linux或BackBox,建议安装一个合适的Linux黑客系统,尤其是因为这些黑客工具可以(自动)更新。
2024-10-29 14:51:51
744
原创 自学黑客必看的五本书,满足你的黑客梦,收藏这一篇就够了!
大家好,我是强哥。经常会有粉丝朋友私信我,想学黑客技术有什么书籍推荐,今天强哥就给大家安利一波。想要自学黑客却没人教怎么办,看完这五本书,你也能成为黑客大佬💪。
2024-10-29 14:45:22
993
原创 【网络安全渗透测试零基础入门】之CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除
大家好,我是强哥。今天给大家分享一下网络安全渗透测试入门阶段文件CSRF漏洞概述和原理教程本文主要讲解CSRF请求伪造&Referer同源&置空&配合XSS&Token值校验&复用删除。
2024-10-28 14:04:55
817
原创 【网络安全零基础入门】之XML外部实体注入(非常详细)建议收藏!
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
2024-10-28 13:58:47
728
原创 一文读懂什么是Docker,如何安装Docker和一键创建容器
Docker可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。说简单点,如我们想在Linux服务器中运行win11系统。我们就需要拉取和系统架构一样的win11镜像。我们常用命令来拉取镜像。需要注意的是,由于某些原因。拉取镜像是非常慢。各种镜像加速源都扑街。下面是强哥找到可用的方法。(随时可能会失效)},EOF写入新的配置文件后,需要我们重启docker如,我们要拉取HomeAssistant的镜像,可以执行下面命令。代码中。
2024-10-26 14:54:28
873
原创 计算机专业必看!万字详解CentOS7安装流程步骤教程(非常详细)零基入门到精通教程,建议收藏!
CentOS(Community Enterprise Operating System,中文意思是:社区企业操作系统)是 Linux 发行版之一,它是来自于 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定性的服务器以 CentOS 替代商业版的 Red Hat Enterprise Linux 使用。两者的不同,在于 CentOS 并不包含封闭源代码软件。客户机操作系统:Linux版本 :CentOS 7 64位。
2024-10-26 14:36:46
697
原创 漫画版图文解说带你了解:黑客为什么不攻击微信和支付宝钱包?真正的原因竟然是这样?!
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取要学习一门新的技术,作为新手。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
2024-10-25 15:08:34
952
原创 【渗透实战系列】 从SQL注入渗透内网(渗透的本质就是信息搜集)
一个 SQL 注入可以帮我们的不仅仅是获取数据库表里的数据,还能让我们直接获取到目标服务器的权限,减少我们渗透的时间,本文主要围绕 SQL 注入如何进内网来写的,不多说兄弟们看文章就完事了。
2024-10-25 15:06:43
1135
原创 【网络安全渗透测试零基础入门】一文带你0基础挖到逻辑漏洞(非常详细),轻松成为朋友眼中的黑客大佬!
这是强哥给粉丝盆友们整理的—网络安全渗透测试入门阶段逻辑漏洞渗透与防御教程。本文主要讲解如何从零基础带你挖到逻辑漏洞。由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。我给大家准备了一份全套《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~挖掘逻辑漏洞的过程中,需要一些技巧和非常规思路,有点像边缘测试的思想。
2024-10-24 15:35:30
996
原创 【网络安全渗透测试零基础入门】之Redis未授权访问漏洞详解
这是强哥给粉丝盆友们整理的—网络安全渗透测试入门阶段Redis未授权访问漏洞教程。Redis安装后,如果绑定在,并且没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证或使用弱口令的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config命令,可以进行写文件操作,攻击者可以成功将自己的。
2024-10-24 15:14:57
1176
原创 常见的网络攻防技术——黑客攻防(通俗易懂版)
在世界人口近80亿的地球上,每天尚且发生数以百万计的抢劫打架斗殴事件,网络更是如此,网络攻防战几乎每时每刻都在发生。如果说打架斗殴枪击事件离我们还很远,那网络攻防战在你打开手机的时候就开始了!博主能力有限,暂不谈网络攻防具体操作实现过程,我们用通俗易懂的语言一块聊聊——神秘的“网络攻防”每当听到“网络攻防”这个名词,有没有一瞬间觉得很神秘?脑海中是否下意识的出现身穿黑色连衣帽的黑客中黑入某机构网站的场景?其实它并没有想象中的那么神秘,接下来我们一块唠唠常见的几种常见的网络攻防技术。
2024-10-23 13:45:31
1111
原创 【渗透实战系列】|App渗透 ,由sql注入、绕过人脸识别、成功登录APP
涉及知识点1、APP抓包和逆向破解加密算法;2、解密参数,寻找注入点;3、Union注入构造万能密码;4、利用忘记密码功能,burpsuite爆破用户名;5、解密短信验证数据包,绕过验证码,成功登录6、burp把手机发向服务器的人脸识别数据包丢掉,并修改为空,绕过人脸识别成功登录。
2024-10-23 13:44:11
1187
原创 不会写SDWebUI 的负面提示词?用这几款Embedding模型一键搞定!效果好到爆炸!
Embedding(嵌入) 也叫 textual inversion (文本反转),它的作用是通过训练少量的图像,让大模型快速学会一个新的概念。比如你想在 WebUI 中生成一张《电锯人》中玛奇玛(Makima)这个角色的图像,选择一个动漫风大模型(比如 anything),即使在提示词中准确描述“一个女孩,粉色的长发,扎着辫子,白衬衫,黑色领带,黑色裤子”等角色形象特征,生成的图像与人物原型也并不相似。
2024-10-22 12:02:24
811
原创 21天全面掌握:小白如何高效学习AI绘画SD和MJ,StableDiffusion零基础入门到精通教程!快速学习AI绘画指南!
今天给大家分享一些我长期以来总结的AI绘画教程和各种AI绘画工具、模型插件,还包含有视频教程,写几个关键词,分分钟生成一批素材,输出快,不侵权,简直不要太爽!
2024-10-22 12:00:45
259
原创 2024职场新霸主,揭秘那些用AI技术的高手们的是怎么碾压普通人的,AI新风口你应该知道了!
原本以为只是新技术的短暂爆火,但现实却残酷的警示着:AI抢走你饭碗时,连声招呼都不打!Excel、Word、PPT,职场人辛苦掌握的职场技能,被AI分分钟碾压!加班熬夜,累死累活出的数据报表、文案、设计图,AI几秒完成! 一线大厂一边裁员,一边高薪招聘懂AI的人。打工人的职业危机瞬间被提前至少5年!换做你是老板,是不是也很难拒绝AI。
2024-10-21 11:51:54
568
原创 适合用AI做自媒体疯狂变现的5个赛道,涨粉超快(附真实账号分析)
最近总有粉丝让我继续分享一下AI变现的赛道,结合我自身的一些经验,给大家做了一下分析总结,感兴趣的小伙伴可以看看~
2024-10-21 11:48:14
950
原创 【零基础SD教程】2024最细自学Stable Diffusion全套教程!附SD安装包,拿走不谢
看这个美女的照片是不是很漂亮? 但这些都不是真实存在的。直接通过 AI 生成的美女达到如此逼真的地步,是怎么做到的呢?那么接下来就是:学习生成小姐姐的正确姿势,首先需要在你的电脑中,安装一个「stable-diffusion」
2024-10-19 14:02:42
685
原创 AI绘画StableDiffusion3种方法精确控制生成的人物姿势,总有一种适合你
在AI绘画软件 stable diffusion 中,控制人物姿势的方法有很多,最简单的方法是在提示词中加入动作提示词,比如Sit, walk, run(坐、走、跑)等,但如果想要精确控制人物姿势就比较难了,首先想要用语言精确描述一个姿势比较困难,另外stable diffusion生图姿势图就像抽盲盒一样具体有一定的随机性。今天跟大家介绍几个常用的精确控制人物姿势的方法。
2024-10-19 13:56:12
960
原创 AI绘画Stable Diffusion:从新手到高手,漫画小说创收不是梦,几条视频变现几k(Ai工具+教程)
今天,强哥将带给大家一期全新的纯AI制作小说推文项目,这个新玩法将让你轻松掌握保姆级的详细教程。在本文的结尾,我们将为你提供强大的AI工具+教程下载,助你更好地实现这个创意项目。让我们一起探索AI的无限可能!今年AI绘画大热,越来越多的人利用 AI漫画来推广小说, 因为AI可以根据小说不同场景生成对应图片,增强代入感,最重要的还都是原创。相比普通的推文视频,这种形式更胜一筹。
2024-10-18 14:34:23
1217
原创 AI绘画数字人之声音克隆:无样本,1分钟样本完美克隆声音,开源!
最近在搞克隆人,发现一个很好的声音克隆项目,测试了一下,效果真不错,可以直接用,也可以微调后使用,好了废话不多说,直接上干活,哈哈~~ 首先这次直接说项目工具:GPT-SoVITS
2024-10-18 14:30:56
579
原创 超吸睛!用AI绘画做沙雕图文号,有趣又解压!轻松吸粉变现!
强哥可谓是小某书资深用户,最近突然刷到了某篇主打沙雕日常文案的 **AI手绘插画图文号**,不仅篇篇笔记上千点赞量,重点!这类图文号植入的均是报价贼高的软广,我的老天鹅!一搜同类账号,目前算是小众赛道,做的人不多,应该是新启的赛道,立马给宝子们来一波拆解!
2024-10-17 13:48:14
887
原创 AI绘画Stable Diffusion 必学技能—从零开始训练你的专属Lora模型!模型训练保姆级教程建议收藏!
Lora模型全称是:Low-Rank Adaptation of Large Language Models,可以理解为Stable-Diffusion中的一个插件,在生成图片时,Lora模型会与大模型结合使用,从而实现对输出图片结果的调整。我们举个更容易懂的例子:大模型就像素颜的人,Lora模型就如同进行了化妆、整容或cosplay,但内在还在大模型的底子。当然Lora模型不仅仅限制于人物,场景、动漫、风格都有相对应的Lora。
2024-10-17 13:44:42
1094
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人