- 博客(11)
- 资源 (30)
- 收藏
- 关注
原创 Bugku CTF-MISC 1
目录前言:1.这是一张简单的图片:Unicode编码转换2.又一张图片,还单纯吗:jpg中隐藏jpg3.隐写:IHDR修改图片高度隐写3.1 steg_Bugku-burstHeight.py4.隐写2:隐写包含加密zip压缩包4.1 binwalk分离文件4.2 foremost分离图片5.隐写3:IHDR修改图片高度隐写5.1 steg_Bugku-burst_png_width_height.py6.telnet:pcap数据包分析7.Linux:二进制
2021-02-25 22:13:01 469
原创 Upload-Labs高级+代码审计
目录15.Pass-15:图片马绕过getimagesize()16.Pass-16:图片马绕过exif_imagetype()17.Pass-17:图片马绕过图像二次渲染18.Pass-18:条件竞争绕过19.Pass-19:条件竞争加解析漏洞绕过20.Pass-20:%00截断或者加.绕过21.Pass-21:数组结合Windows特性绕过前言:本文涉及的python脚本不要做伸手党Ctrl+c Ctrl+v,尝试自己去写,你也可以。 ...
2021-02-24 23:18:19 293
原创 Nginx实现负载均衡并进行压力测试
目录1.负载均衡介绍2.负载均衡的应用场景3.负载均衡的作用4.Nginx实现负载均衡的两种方式4.1 Nginx反向代理4.2 Nginx转发策略5.实现Nginx负载均衡5.1 服务器部署nginx5.2 负载均衡服务器配置5.3 重启负载均衡服务器测试6.Jemter压力测试6.1 对所有网站进行测试6.2 查看测试结果(聚合报告)1.负载均衡介绍 负载均衡建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和...
2021-02-22 20:46:00 622
原创 python实现base64和图片相互转换
目录1.图片转换base64编码脚本2.base64编码转换image图片脚本1.图片转换base64编码脚本img_Transbase64.py:#!/usr/bin/python# Env: python3# -*- coding:utf-8 -*-# Author:afei_0and1'''绝大部分采用base64编码,base32和base16同理。 base64编码方法:base64.b64encode() base32编码方法:base.
2021-02-22 18:34:32 1899
原创 密码字典生成工具汇总
目录1.Mutoudic(木头字典)2.crunch2.1 Crunch常用参数详解2.2 Crunch生成字典实例3.cewl3.1 Cewl常用参数详解3.2Cewl生成字典实例4.cupp4.1 cupp常用参数解释4.2 cupp生成字典实例1.Mutoudic(木头字典) 木头字典生成器是Windows下很好用的字典生成工具。不过很多选项都不是免费的,需要购买注册码。木头超级字典生成器具有其本的常规字典生成功能外,还能实现拼音字典...
2021-02-21 11:10:33 2912
原创 Upload-Labs中级+代码审计
8.Pass-08:文件末尾加点(.)绕过 利用Windows的特性:windows会对文件中的点进行自动去除,所以可以在文件末尾加点绕过。注意:对Linux系统不适用。上传成功,上传的PHP文件解析成功,菜刀连接即可。PHP代码分析:$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_...
2021-02-21 00:08:26 247 4
原创 Upload-Labs初级+代码审计
目录一、Upload-Labs环境搭建1.Pass-01:前端绕过2.Pass-02:Content-Type绕过3.Pass-03:PHP后缀绕过4.Pass-04:覆盖.htaccess绕过5.Pass-05:上传.user.ini绕过6.Pass-06:后缀大小写绕过7.Pass-07:空格绕过一、Upload-Labs环境搭建 upload-labs是github上的一个开源项目,可以帮助安全人员学习PHP环境下各种文件上传的绕过方式和原理,...
2021-02-09 15:00:42 336
原创 Click Jacking点击劫持漏洞验证
目录1.前言2.漏洞原理3.漏洞验证4.漏洞利用5.漏洞修复6.ClickJacking漏洞测试脚本(Python)1.前言 前几天在对网站进行安全性测试时,发现存在ClickJacking点击劫持漏洞。AWVS扫出来报的是地危。利用的成本也不是很高,了解该漏洞的原理之后,我认为是个中危漏洞。afei 服务器没有返回X-Frame-Options报头,这意味着该网站可能面临点击劫持攻击的风险。X-Frame-Options HTTP响...
2021-02-09 12:13:24 1258
原创 图片木马制作的三种方法
目录1.图片木马简介2.制作图片木马的三种方法3.copy命令制作4.photoshop制作5.UltraEdit制作6.总结1.图片木马简介 图片木马,顾名思义就是包含可执行木马的图片。通过一定的手段将一句话木马等程序加入到图片中,再将该木马图片上传到网站,从而达到控制整个网站目的。2.制作图片木马的三种方法(1)copy命令制作;(2)photoshop插入制作;(3)二进制编辑器制作(比如:winhex、ultraEdit)...
2021-02-08 10:59:26 1343
原创 XXE漏洞介绍与XML概述
1.XXE漏洞介绍 XXE(XML External Entity attack),全称是:XML外部实体攻击。 XXE漏洞:当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击网站、发起Dos攻击等危害。2.XML介绍 XML指可扩展标记语言(Extensible Markup Language)。用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的...
2021-02-06 20:17:45 214
原创 XXE漏洞攻击向量
XXE不同类型攻击分类拒绝服务攻击(DoS) 基本的 XXE攻击 高级的 XXE攻击 服务器端请求伪造攻击(SSRF) XML包含机制(XInclude) 扩展样式表转换语言(XSLT)1.拒绝服务攻击(DoS)(1)拒绝服务攻击(DoS)(支持实体测试)<!DOCTYPE data [<!ELEMENT data (#ANY)><!ENTITY a0 "dos" ><!ENTITY a1 "&a0;&...
2021-02-06 19:46:13 171
安全保障四维模型-分保、等保、关保、密评之间联系与区别
2024-04-13
jQuery xss POC汇总
2023-02-13
Python_Hack.pdf
2021-07-15
CVE-2021-1732研究及Exploit开发.pdf
2021-03-30
DVWA漏洞测试平台分析.v1.0-by 红日安全Silense.pdf
2021-01-30
CIS_Apache_HTTP_Server_Benchmark_v3.0.0(apache安全配置)
2021-01-18
计算机三级Linux系统应用与开发教程—习题答案
2021-01-18
Flask入门.docx
2020-10-16
配置WSL 2兼容Linux子系统.docx
2020-10-14
win 10安装配置Kali子系统.docx
2020-10-06
win 10安装配置Ubuntu子系统.docx
2020-10-04
wmic命令行介绍及使用.pdf
2020-09-07
Centos7.x搭建Snort IDS入侵检测环境.pdf
2020-09-02
win10上使用Wampserv(PHPstudy)搭建DVWA靶场环境.docx
2020-08-31
隐写术总结.docx
2020-08-27
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人