- 博客(16)
- 资源 (5)
- 收藏
- 关注
原创 使用python实现高清壁纸批量下载
此代码是使用python多线程批量下载高清壁纸的一个小脚本,代码略为简陋.此代码仅供学习与交流,请不要用于违法用途。
2022-11-14 18:52:58 427 1
原创 使用Dism++备份系统文件并恢复
Dism++*是采用微软内部API编写的一款开源免费的实用工具,*Dism++*可以说是一个Dism的GUI版,但是并不依赖Dism.工具:2.一个Windows10或Windows11的镜像(下载地址:https://next.itellyou.cn)3.Dism++(下载地址:https://github.com/Chuyu-Team/Dism-Multi-language/releases)
2022-11-14 18:52:07 13737
原创 Linux数据恢复
博客:https://silentx.gitee.io/一.概述此次是使用不同工具对不同Linux系统进行数据恢复环境准备:系统:centos7,Ubuntu20,kali2022软件:testdisk,foremost,extundelete,R-Linux分区类型:ext3、ext4、vfat二.centos7 使用testdisk对ext4分区的文件恢复1.安装软件testdiskyum install testdisk2.初始化并挂载硬盘虚拟机添加一块任意大小的硬盘
2022-05-26 13:15:42 4262
原创 python多线程/多进程
我的博客:acsec.xyz微信公众号: Ac sec一.概述 对于python爬虫,默认的是使用单线程爬虫,在批量爬数据时速度太慢。但有的人会说,python的多线程爬虫,并不是真正意义上的多线程,它会有阻塞。但是,无论怎么说,多线程或者是多进程,速度都要比原来的单线程要快很多。当你使用多线程爬虫时,电脑风扇都会呜呜的转起来。下面举例说明多线程/多进程的创建方法,以及各种方法运行代码的速度。二.举例1.默认情况运行代码inputimport timedef test(str):
2022-01-17 16:27:05 378
原创 Selenium获取浏览器Network数据包
我的博客:acsec.xyz微信公众号: Ac sec一.概述我们有时候在爬取jsp动态网站时,发现爬取的数据是不完整的。这时候我们就要获取浏览器F12里面的Network数据包,这样才能得到完整的数据。下面我们用python的Selenium模块配合Browsermob-Proxy抓取Network数据包。二.环境1.python3.102.pycharm2021.13.Browsermob-Proxy2.1.4下载地址:https://github.com/lightbody/
2022-01-09 17:33:02 9087
原创 vulhub-httpd漏洞复现
我的博客:acsec.xyz微信公众号: Ac sec一.SSI注入1.概述SSI:服务器端嵌入或者叫服务器端包含,是Server Side Include的简写。SSI技术通过在文档中加入SSI指令,让服务器端在输出文档之前解析SSI指令,并把解析完的结果和文档一同输出给客户端。SSI的指令格式为:<!-- #directive parameter=“value” – >。其中,directive是指令名,parameter指令参数,value指令参数值。可以看到,就是html
2021-09-28 22:30:59 252
原创 Flask-SSTI注入
一.概述SSTI即服务端模板注入,是指用户输入的参数被服务端当成模板语言进行了渲染,从而导致代码执行。1.FlaskFlask是一个基于python开发的web 框架。也就是说 Flask 为你提供工具,库和技术来允许你构建一个web应用程序。这个wdb应用程序可以使一些 web 页面、博客、wiki或商业网站。Flask 属于微框架(micro-framework)这一类别,微架构通常是很小的不依赖于外部库的框架。这既有优点也有缺点,优点是框架很轻量,更新时依赖少,并且专注安全方面的 bug,缺
2021-09-28 22:25:41 1857
原创 pikachu 综合
sql注入、暴力破解、xss在我其他几篇文章中我的博客:acsec.xyz微信公众号: Ac sec一.RCE1.概述RCE(remote command/code execute)概述RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从
2021-09-23 19:16:16 205
原创 pikachu-sql注入
我的博客:acsec.xyz微信公众号: Ac sec一.概述在owasp发布的top10排行榜里,注入漏洞一直是危害排名第一的漏洞,其中注入漏洞里面首当其冲的就是数据库注入漏洞。一个严重的SQL注入漏洞,可能会直接导致一家公司破产!SQL注入漏洞主要形成的原因是在数据交互中,前端的数据传入到后台处理时,没有做严格的判断,导致其传入的“数据”拼接到SQL语句中后,被当作SQL语句的一部分执行。 从而导致数据库受损(被脱裤、被删除、甚至整个服务器权限沦陷)。在构建代码时,一般会从如下几个
2021-09-23 18:44:09 819
原创 pikachu XSS
一.概述Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为如下几种常见类型:1.反射性XSS;2.存储型XSS;3.DOM型XSS;XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。XSS是一种发生在前端浏览器端的漏洞,所以其危害的对象也是前端用户。形成XSS漏洞的主要原因是程序对输入和输出没有做合适的处理,导致“精心构造”的字符输出在前端时被浏
2021-09-23 18:36:40 113
原创 pikachu暴力破解
pikachu暴力破解date: 2021-09-07 20:32:54tags:- pikachu- 暴力破解- burpcategories: 靶场通关一.概述“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断.
2021-09-22 22:18:12 124
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人