- 博客(40)
- 收藏
- 关注
原创 浅谈渗透流程那点事
作为一位致力于安全的渗透小伙伴。在学习一些渗透知识后不知道怎么利用。那么现在我们浅谈一下。对于渗透来说。简单分为以下几部分明确目标明确范围 确认ip,域名,内外网等明确规则 确认渗透时间,是否上传木马文件,是否提权等确认需求 web应用漏洞?线上漏洞?业务漏洞?人员权限漏洞?等 简单理解就比如打仗。打哪个国家的哪个区...
2024-04-21 17:42:00 275
原创 CobaltStrike
Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。最近这个工具大火,成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式,集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。Cobalt Strike...
2023-07-30 23:07:00 206
原创 SSRF
简介SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人原理攻击者通过控制内网一台服务器进而攻击在同一内网的其他的服务器原因服务器端的验证并没有对其请求获取图片的...
2023-07-23 23:04:00 113
原创 Upload-labs
upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。ps:在搭建靶场时。需要在文件目录手动创建一个名为upload的目录,用于上传文件的存放目录。Pass01 修改文件后缀名上传从源代码可以看出来上传的文件只支持.jpg/.png/.gif类型文件,所...
2023-07-18 02:07:00 81
原创 Nmap
Nmap介绍Nmap,也就是Network Mapper,最早是Linux下的网络扫描和嗅探工具包。nmap是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运行哪个操作系统(这是亦称 fingerprinting)。它是网络管理员必用的软件之一,以及用以评估网络系统安全。正如大多数被用于网络安全的工具,nmap 也是不少黑客及骇客(又...
2023-07-17 01:07:00 54
原创 SQL注入
Web入侵先遣—SQL注入攻击技术初探SQL注入式攻击技术,一般针对基于Web平台的应用程序.造成SQL注入攻击漏洞的原因,是由于程序员在编写Web程序时,没有对浏览器端提交的参数进行严格的过滤和判断。用户可以修改构造参数,提交SQL查询语句,并传递至服务器端,从而获取想要的敏感信息,甚至执行危险的代码或系统命令。虽然SQL注入攻击技术早已出现,但是时至今日仍然有很大一部分网站存在SQL注入...
2023-07-13 02:03:00 519
原创 Django2.0使用
创建项目:通过命令行的方式:首先要进入到安装了django的虚拟环境中。然后执行命令:django-admin startproject [项目的名称]这样就可以在当前目录下创建一个项目了。通过pycharm的方式:文件->新建项目->选择django。然后指定项目所在的路径,以及Python解释器,再点击Create就可以创建项目了。运行项目:终端:进入到...
2022-11-21 12:32:34 1200
原创 一款不错的golang配置文件库 - Viper
先献上github地址https://github.com/spf13/viper什么是viper,为什么选用viper,让我们看看官方的说法大概意思就是viper 兼容多种格式的配置文件,使用简单既然如此。那我们学习一下viper的使用第一步 安装go get github.com/spf13/viper第二步 准备一个配置文件。这里使用yaml文件...
2020-10-15 14:00:00 278
原创 某奇艺滑块
!!!本文章只用于学习交流。如有非法使用。本人不负责任第一步:请求sign接口获取dfp参数第二步:请求login.action接口看是否需要弹出滑块,如果需要就要获取token第三步:请求sbox_init_key接口获取sig,sid,sr三个参数第四步:请求nitpage接口获取滑块数据第五步:模拟轨迹参数请求verify接口获取token2.dfp参数的获取加密参数主要...
2020-04-08 18:49:00 390
原创 爬虫系列
请求库urllib使用请求库requests库使用python操作excel解析库BeautifulSoup使用解析库Xpath使用解析库pyquery使用python3用execjs执行JS代码Selenium浏览器自动化测试工具静态字体加密分析...
2020-04-06 04:47:00 72
原创 Docker部署Python爬虫项目
1) 首先安装docker:# 用 yum 安装并启动yum install docker -y && systemctl start docker2) 下载自定义镜像需要用到的基础镜像:# 这里以centos7为例docker pull centos:centos73) 基础镜像已经准备好了,接下来准备好需要部署的环境服务,以及python项目:###...
2019-11-25 14:23:00 120
原创 Cmder
Cmder首先了解什么是Cmder官方介绍Cmder is a software package created out of pure frustration over the absence of nice console emulators on Windows. It is based on amazing software, and spiced up with the ...
2019-11-11 15:54:00 113
原创 Selenium处理alert/confirm/prompt提示框
About重新认识alert首先,不是所有的alert都能叫做alert框。JavaScript中,关于消息提示框的方法有三个(虽然都跟alert差不多):alert(message)方法用于显示带有一条指定消息和一个 OK 按钮的警告框。confirm(message)方法用于显示一个带有指定消息和 OK 及取消按钮的对话框。如果用户点击确定按钮,则 confirm()...
2019-11-09 15:06:00 716
原创 排序
冒泡排序#冒泡排序:两个元素一一比对,大的往后走def sort(alist): length = len(alist) for j in range(length-1): #找出列表中的最大值,一一比对,需要比对列表长度-1次 for i in range(length-1-j): i...
2019-08-19 15:53:00 202
原创 PhantomJS
PhantomJS 是一款无界面的 / 可脚本编写的 WebUi 浏览器引擎,它原生支持多种 Web 标准:DOM / CSS选择器 / JSON / Canvas 以及 SVGSpider 和 Selenium 都支持 PhantomJS ,在运行时不会弹出一个浏览器。使用非常方便相关连接: - 官方网站 :http://phantomjs.org - ...
2019-08-09 18:09:00 67
原创 Selenium浏览器自动化测试框架
selenium简介介绍 Selenium[1]是一个用于Web应用程序测试的工具。Selenium测试直接运行在浏览器中,就像真正的用户在操作一样。支持的浏览器包括IE(7, 8, 9, 10, 11),Mozilla Firefox,Safari,Google Chrome,Opera等。这个工具的主要功能包括:测试与浏览器的兼容性——测试...
2019-08-09 11:01:00 126
原创 Scrapy
介绍Scrapy 是一个基于 Twisted 的异步处理框架,是纯 Python 实现的爬虫框架,其架构清晰,模块之间的耦合程度低,可扩展性强,可以灵活完成各种需求结构介绍它可以分为以下几个部分Engine :引擎 -- 处理整个系统的数据流 / 触发事件,是整个框架的核心Item : 项目 -- 它定义了爬去结果的数据结构,爬去的数据会被赋值成该...
2019-08-08 23:00:00 87
原创 Pyspider
Pyspider是由国人(binux)编写的强大的网络爬虫系统Ptspider带有强大的WebUi / 脚本编辑器 / 任务监控器 / 项目管理器以及结果处理器。他支持多种数据库后端 / 多种消息队列 / Javascript 渲染页面爬去。使用起来非常方便基本功能提供了方便易用的 WebUi 系统,可视化的编写和调试爬虫提供爬去进度监控 / 爬去结果查看 / 爬虫项...
2019-08-07 21:58:00 333
原创 Scrapy框架安装失败解决办法
安装报错信息正常安装:pip install scrapy出现报错信息如下:两种解决办法第一种方法最根本得解决办法 需要我们安装Microsoft Visual C++ 14.0 【安装时间较长大约在一个半小时左右】官网:https://support.microsoft.com/zh-cn/help/2977003/the-latest-s...
2019-08-06 21:54:00 338
原创 Pyquery
介绍pyquery库是jQuery的Python实现,可以用于解析HTML网页内容,能够以jQuery的语法来操作解析 HTML 文档,易用性和解析速度都很好初始化安装: pip install pyquery字符串的形式初始化html = """<html lang="en"> <head> ...
2019-08-06 16:29:00 118
原创 XPATH
介绍XPath即为XML路径语言(XML Path Language),它是一种用来确定XML文档中某部分位置的语言。XPath基于XML的树状结构,提供在数据结构树中找寻节点的能力。起初XPath的提出的初衷是将其作为一个通用的、介于XPointer与XSL间的语法模型。但是XPath很快的被开发者采用来当作小型查询语言。语法选取节点 XPath 使用路径表达式在 XM...
2019-08-06 16:02:00 68
原创 SQLAlchemy
在使用 django 操作数据库时。会使用django提供的ORM,在使用其他框架时。没有自带的ORM,这个时候就出现了一个替代品 -- SQLAlchemySQLAlchemy是 Python编程语言下的一款开源软件。提供了SQL工具包及对象关系映射(ORM)工具SQLAlchemy“采用简单的Python语言,为高效和高性能的数据库访问设计,实现了完整的企业级持久模型”。S...
2019-07-31 16:44:00 70
原创 MongoDB
简介NoSQL下载及安装使用数据类型条件操作符修改器$的使用sort - limit - skippython操作MongoDB更多文档及学习资料 :菜鸟教程 百易教程
2019-07-17 22:52:00 38
原创 百度AI技术
利用百度提供接口,实现智能语音语音合成 -- TTS(text to speech)注册在 ai.baidu.com页面中点击 控制台 ,弹出登陆 / 注册页面创建应用登陆成功后,点击左侧的语音技术。跳转页面后。点击创建应用,按照对应的提示填写想用python 操作,需要下载baidu-aip如果已安装pip,执行pip install ba...
2019-07-16 20:46:00 258
原创 WebSocket
WebSocket 是 HTML5 开始提供的一种在单个 TCP 连接上进行全双工通讯的协议。WebSocket 使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数据。在 WebSocket API 中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久性的连接,并进行双向数据传输。在 WebSocket API 中,浏览器和服务器只需要做一个握...
2019-07-15 20:50:00 74
原创 开发者工具
在使用开发者工具的时。很多时候。我们只知道点这个,点那个。却不知道开发者工具内提供的功能和按键是什么意思。今天。我们就来聊一聊开发者工具面板开发者工具包括以下面板红色区域 -- Elements :查找网页源代码HTML中的任一元素,手动修改任一元素的属性和样式且能实时在浏览器里面得到反馈。黑色区域 --Console :记录开发者开发过程中的日志信息...
2019-07-13 18:24:00 130
原创 Linux
常用命令目录结构文件权限lunix和pythonlinux和python虚拟环境linux和nginxlinux和redislinux和redis哨兵集群linux和mysql
2019-07-08 21:57:00 59
原创 装饰器
今天呢。我们聊一下装饰器。什么是装饰器呢?肯定是能给其他东西装饰一些东西。其实。装饰器的本质就是一个闭包。装饰器的原则:开放封闭原则,说的简单点就是在不改变原函数的调用方式。给当前函数增加一些功能先来看一下。装饰器长什么样。def wapper(func): def inner(*args, **kwargs): print('star...
2019-06-21 16:28:00 42
原创 django异常--数据库同步
在新创建的Django项目中执行makemigrations时,遇到:而仔细观察,这个报错的app名字是我们之前项目中的app名字,但现在却在我们当前的项目中报错了。究其原因,则是因为之前的项目中的app缓存被存在了Django的模块内的"某些地方" 而我们当在新的项目中用到"某些地方"的功能时,执行了之前的缓存内容,从而引发错误打开你的解释器下的Lib\site-packa...
2019-06-14 18:17:00 54
原创 浅谈 Mysql
数据库一些基本的概念Mysql 基础操作Mysql 数据类型Mysql 表的完整性约束Mysql 表的操作Mysql 数据增删改查语句Mysql 多表查询Mysql 索引原理及分类Mysql 索引创建Python 中操作数据库...
2019-04-25 18:22:00 92
原创 python网络编程系列
计算机基础网络基础套接字socket模块TCP协议和UDP协议struct 模块简介struct 模块解决 TCP黏包问题socket 客户端的认证socketserver模块初识阶段小结...
2019-04-09 08:49:00 81
原创 beautifulsoup4
介绍Beautiful Soup提供一些简单的、python式的函数用来处理导航、搜索、修改分析树等功能。它是一个工具箱,通过解析文档为用户提供需要抓取的数据,因为简单,所以不需要多少代码就可以写出一个完整的应用程序。Beautiful Soup自动将输入文档转换为Unicode编码,输出文档转换为utf-8编码。你不需要考虑编码方式,除非文档没有指定一个编码方式,这时,...
2019-04-08 17:31:00 73
原创 Django XSS攻击
Django XSS攻击XSS(cross-site scripting跨域脚本攻击)攻击是最常见的web攻击,其特点是“跨域”和“客户端执行”,XSS攻击分为三种:Reflected XSS(基于反射的XSS攻击)Stored XSS(基于存储的XSS攻击)DOM-based or local XSS(基于DOM或本地的XSS攻击)Ref...
2019-04-08 17:21:00 351
原创 win10安装MySQL5.7.21
一. 下载MySQL1. 打开MySQL官网,选择DOWNLOADS --> Community2. 下拉页面找到MySQL on Windows(installers & tools)3. 选择MySQL installer4. 选择Windows (x86, 32-bit), MSI Installer下载...
2019-03-20 21:54:00 84
原创 Windows安装MySQL5.7.23 zip包
No.1 下载1.1 打开MySQL官网的下载页面,选择【DOWNLOADS】-- 【Community】点击【MySQL Community Server(GPL)】1.2 在打开的页面下拉选择版本,如下图所示,8.x版本不是我们想要的,那么就点击右侧的【Looking for previous GA versions?】来选择历史版本...
2019-03-20 21:39:00 72
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人