旺仔Sec&blog

vulnhub—DC-1靶机存在五个flag文件，让渗透者可以体验闯关的流程。相关技术涉及到了渗透技术、数据库技术、Linux操作系统运维命令等。循序渐进的获取每一个flag线索并最终得到最后的flag信息。创作不易，还请三连！

第一个模块的竞赛样题和评分标准，每套样题的内容重复度不可超过70%，并于比赛日前三周以上提前在省赛平台发布。比赛日前 3天以上，在封闭环境和保密条件下，省赛督察员从 5 套样题中任意抽取 2 套样题作为正式比赛试题初稿（如比赛分 N 批次进行，抽取样题为 N+1 套），由专家组修改后形成第一个模块正式比赛试题，修改内容比例为 25%-35%之间；由各参赛队 1 名或多名队员根据第一个模块的竞赛内容和竞赛过程进行展示和讲解，所有参赛队统一不使用 PPT，总时长为 10 分钟，分数占比为 10%

DBeaver 是一款功能强大的通用数据库管理工具， DBeaver是免费和开源（GPL）为开发人员和数据库管理员通用数据库工具。多数据库支持● DBeaver 支持多种主流数据库，包括但不限于 MySQL、PostgreSQL、Oracle、SQL Server、SQLite 等。这使得开发人员、数据库管理员等用户可以使用同一工具来管理不同类型的数据库，无需为每种数据库安装专门的管理工具。跨平台使用、支持插件扩展，并且提供了许多数据库管理工具🐱♔支持的操作系统LinuxMac OS。

本赛项内容基于数据库课程教学标准及人才培养目标，引领相关专业课程改革创新，促进高等职业院校信息类相关专业建设，培养技能型人才;产教融合、校企合作，通过赛项展示和提高教师的数据库教学科研能力,提升学生从事数据库相关岗位的适配性，提供数据库领域的高素质技术技能型人才。全面考察高职学生在数据库概念设计、逻辑设计、物理设计、数据查询与分析、数据库部署与维护、数据库备份与恢复等知识、技术技能以及职业素养能力；全面检验学生在数据库方面的工程实践能力和创新能力；

本赛项内容基于数据库课程教学标准及人才培养目标，引领相关专业课程改革创新，促进高等职业院校信息类相关专业建设，培养技能型人才;产教融合、校企合作，通过赛项展示和提高教师的数据库教学科研能力,提升学生从事数据库相关岗位的适配性，提供数据库领域的高素质技术技能型人才。全面考察高职学生在数据库概念设计、逻辑设计、物理设计、数据查询与分析、数据库部署与维护、数据库备份与恢复等知识、技术技能以及职业素养能力；全面检验学生在数据库方面的工程实践能力和创新能力；以高水平赛事引领职业教育高质量发展，发挥树旗、导航、定标、催

在使用DBeaver数据库管理软件导出数据库文件为CSV文件的时候，会出现乱码显示问题的解决方法。

[ACTF2020 新生赛]Exec1命令注入

记录一次[极客大挑战 2019]Havefun1WP

具体来说，攻击者可以在FTP命令中嵌入恶意的smiley face字符（即“:)”），如果该命令被vsftpd服务器解析并执行，则会导致缓冲区溢出，进而可能执行任意代码。攻击者还可以通过修改FTP命令中的参数，来获取当前用户的密码、文件列表等敏感信息。#注：比赛中这个靶机不会开放vnc链接也不会把密码告诉你，让你自己渗透进去然后加固，然后我们就可以使用笑脸漏洞getshell然后重置root密码为123456，注意！再新建一个用户，使用新用户ssh进去然后切换回root用户就可以了，然后进行加固。

[HCTF 2018]WarmUp1目录穿越，代码审计解题思路

[ACTF2020 新生赛] Include1解析思路

一、项目和任务描述：假定你是某企业的网络安全渗透测试工程师，负责企业某些服务器的安全防护，为了更好的寻找企业网络中可能存在的各种问题和漏洞。你尝试利用各种攻击手段，攻击特定靶机，以便了解最新的攻击手段和技术，了解网络黑客的心态，从而改善您的防御策略。请根据《赛场参数表》提供的信息，在客户端使用谷歌浏览器登录答题平台。二、操作系统环境说明：客户机操作系统：Windows 10/Windows7靶机服务器操作系统：Linux/Windows 三、漏洞情况说明：1.服务器中的漏洞可能是常规漏洞也可能

[强网杯 2019]随便注 1【SQL注入】解析过程

[极客大挑战 2019]EasySQLWP

aaencode是一种基于JavaScript的文本加密工具。其原理主要是通过执行混淆算法，将可执行的代码转换成为ASCII字符形式的字符串，并在字符串中插入一些不可见字符、注释以及字符串操作指令指令。

📣 简介：Echarts 是一个由百度开源的数据可视化，凭借着良好的交互性，精巧的图表设计，得到了众多开发者的认可。而 Python 是一门富有表达力的语言，很适合用于数据处理。当数据分析遇上数据可视化时，pyecharts 诞生了。✨ 特性：简洁的 API 设计，使用如丝滑般流畅，支持链式调用囊括了 30+ 种常见图表，应有尽有支持主流 Notebook 环境，Jupyter Notebook 和 JupyterLab可轻松集成至 Flask，Django 等主流 Web 框架高度灵活

Page Object模式是一种在自动化测试（尤其是针对Web应用程序的自动化测试）中广泛使用的设计模式。它的主要目的是将页面的元素定位和操作逻辑与测试用例进行分离，使得测试代码更加清晰、可维护和可复用。在传统的自动化测试代码中，元素定位和对元素的操作通常直接混合在测试用例中。当页面结构发生变化时，比如元素的属性（如id、class等）改变或者元素的布局调整，就需要在多个测试用例中去逐一修改相关的元素定位和操作代码，这会导致代码的维护成本很高。

面向对象编程（Object-Oriented Programming，简称OOP）是一种编程范式，它将数据（属性）和对数据的操作（方法）封装在一起，形成一个个对象。通过这种方式，可以更清晰地模拟现实世界中的事物及其行为，使得代码具有更高的可维护性、可扩展性和可复用性。在Python中，一切皆对象，比如整数、字符串、列表等都是对象，它们都有自己的属性和方法。

本赛项内容基于数据库课程教学标准及人才培养目标，引领相关 专业课程改革创新，促进高等职业院校信息类相关专业建设，培养技能型人才;产教融合、校企合作，通过赛项展示和提高教师的数据库 教学科研能力,提升学生从事数据库相关岗位的适配性，提供数据库 领域的高素质技术技能型人才。全面考察中职学生在数据库概念设计、逻辑设计、物理设计、数据查询与分析、数据库部署与维护、数据库备份与恢复等知识、技术技能以及职业素养能力；全面检验学生在数据库方面的工程实践能力和创新能力；以高水平赛事引领职业教育高 质量发展，发挥树旗、导航、

Echarts 是一个由百度开源的数据可视化，凭借着良好的交互性，精巧的图表设计，得到了众多开发者的认可。而 Python 是一门富有表达力的语言，很适合用于数据处理。当数据分析遇上数据可视化时，pyecharts 诞生了

内存中存放的数据在计算机关机后就会消失。要长久保存数据，就要使用硬盘、光盘、U 盘等设备。为了便于数据的管理和检索，引入了“`文件`”的概念

FTP 是File Transfer Protocol（文件传输协议）的英文简称，而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时，它也是一个应用程序（Application）。基于不同的操作系统有不同的FTP应用程序，而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中，用户经常遇到两个概念：“下载”（Download）和"上传"（Upload）。"下载"文件就是从远程主机拷贝文件至自己的计算机上；"上传"文件就是将文件从自己的计算机中拷贝至远程主机上。

假定你是某企业的网络安全渗透测试工程师，负责企业某些服务器的安全防护，为了更好的寻找企业网络中可能存在的各种问题和漏洞。你尝试利用各种攻击手段，攻击特定靶机，以便了解最新的攻击手段和技术，了解网络黑客的心态，从而改善您的防御策略

在当今数字化的时代，编程如同一项强大的魔法技能，能帮助我们实现各种创意与想法，而 Python 无疑是其中一把闪耀的魔法棒。Python 以其简洁优雅的语法、丰富强大的库以及广泛的应用领域，吸引着无数初学者踏上探索之旅，同时也为专业开发者提供了高效便捷的工具。

BCOS是一个开源的区块链底层平台，旨在为企业和开发者提供一个高效、安全、稳定的区块链解决方案。它支持多种共识机制，例如PBFT（实用拜占庭容错算法）等，适用于联盟链场景。

Apache Solr 是一个流行的开源企业搜索平台，广泛应用于各种企业级应用和网站中。2017 年，该漏洞被发现并公布，引起了广泛关注。Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE），二者可以连接

CVE-2015-1635 是一个严重的安全漏洞，涉及 HTTP 远程代码执行

隐写术是一种将秘密信息隐藏在（甚至是在）原本平凡的、非秘密的文件或其他媒体上的手段，以避免被发现。它来自希腊语的“steganos”，意思是“覆盖”或“隐藏”，以及“graph”，意思是“书写”，所以也被称为“隐藏的写作”。

Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件，由服务器及客户端程序构成。SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源，还能与全世界的电脑分享资源。

Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件，由服务器及客户端程序构成。SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议，客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源，还能与全世界的电脑分享资源

DNS 域名转发是一种将对特定域名的查询请求转发到其他 DNS 服务器进行解析的技术

QEMU（Quick EMUlator）是一款开源的虚拟化软件，能够模拟多种硬件平台，并支持多种虚拟化技术，如 KVM（Kernel-based Virtual Machine）加速。刚安装完的时候，你们应该会显示这款网卡连接状态是断开的。那么这里我们需要把我们Windows本地环境上网的那块网卡共享给这块新安装的网卡。安装 QEMU： 解压下载的文件到您选择的目录，并确保路径添加到系统的环境变量中。因为我们安装的那张网卡是与本地widnows的上网网卡是共享的，所以我们开启的环境也是能够连通网络的。

在数字化浪潮席卷全球的今天，信息技术以其独特的魅力引领着社会进步的脚步。作为新一代智能终端操作系统，HarmonyOS以其独特的分布式技术，为万物互联提供了强有力的支撑，也赋予了开发者无尽的创意空间。对于有志于投身应用开发的我们来说，掌握HarmonyOS的开发技术，无疑是把握未来科技发展趋势、提升自身竞争力的关键所在。

软件测试奇技淫巧—测试用例的设计方法总结错误推测方法因果图方法判定表驱动分析方法正交实验设计方法功能图分析方法场景设计方法。

mstsc 是 Windows 系统中的“远程桌面连接”程序的可执行文件。它允许用户远程访问另一台计算机的桌面界面。你可以通过输入 mstsc 命令来启动它。

iptables是Linux系统中的一个强大工具，用来设置、管理和查看防火墙规则。它可以帮助你控制网络流量，决定哪些数据包可以通过，哪些要被丢弃，哪些要转发到其他地方。

Truffle是一个基于以太坊的区块链应用程序开发框架，它提供了一套开发工具和开发环境，方便开发者快速构建和部署智能合约。本文将介绍 Truffle 的一些特点和使用方法。Truffle 团队还开发了 Ganache， Ganache 是一个用于以太坊开发和测试的个人区块链网络，它可以让开发者在本地运行以太坊节点，从而无需连接到公共测试网络或主网进行开发和测试。Ganache还提供了许多有用的功能，如快速挖矿、预设的账户和私钥、以太坊虚拟机调试器等，这些功能可以大大提高开发和测试的效率。

2.Contract HelloWorld就是定义合约的内容String是一个字符串的意思Public意思是公开的意思，说明这个字符串是公开的谁都可以访问greet就是变量名称这个就是自己定义的。1.右侧自己输入的那一段意思是需要编译器版本在0.8.13版本之上，所以左侧的版本需要手动选择一个符合要求的（不然就是红色报错）这个基本的语法逻辑跟Java是相同的count+=1 意思是count=count+1。1ether等于10的18次方wei（wei是以太坊上的GAS最小的单位）

我觉得把平时学习中复杂的技术问题简单化并理清楚思路是一件很有挑战性的事情。写博客也正是这样的一个过程，它会让我思考如何写才能够让各位观众老爷们看懂某个技术点的复现过程以及思路。2、

SSL（Secure Sockets Layer）是一种安全传输协议，用于在网络上实现加密通信和身份验证。它最初由Netscape公司开发，用于保护Web传输的数据安全性，后来演变为TLS（Transport Layer Security）标准，成为其继任者。