- 博客(20)
- 收藏
- 关注
RSS订阅原创 HTTP协议
HTTP协议----超文本传输协议,是一种用于客户端与服务器之间传输数据的协议。通常,由HTTP客户端发起一个请求,创建一个到服务器指定端口(默认是80端口)的TCP连接。HTTP服务器则在那个端口监听客户端的请求。一旦收到请求,服务器会向客户端返回一个状态,比如"HTTP/1.1 200 0K”,以及返回的内容,如请求的文件、错误消息、或者其它信息。
2024-01-07 22:36:30
415
1
原创 SQLMAP使用
id=1” --batch -D security --dump (直接对库进行Dump)user-agent 有一个文件 E:\python\sqlmap\data\txt\user-agents.txt’这里注意对库直接进行–dump,要看他是不是时间注入,有选择的–dump。8.看他的payload怎么写的,详细的显示payload。直接替换,查表名,库名,字段名。
2023-12-29 21:23:37
1480
1
原创 小迪学习笔记 信息收集篇
2.分析HTTP响应头:通过分析网站的HTTP响应头,可以获取一些关于网站所使用的CMS系统的信息。例如,WordPress网站的HTTP响应头中通常会包含"X-Powered-By: PHP/WordPress"等标识。1.查看网战源代码:通过查看网站的源代码,可以找到一些特定的标识或文件路径,从而推断出网站所使用的CMS系统。3带wAE的CDN:用户访问域名->CDN节点(WAE)->真实服务器IP->访问目标主机。CMs识别,端口扫描,CDN绕过,源码获取,子域名查询,WAF识别,负载均衡识别等。
2023-12-23 23:42:18
840
原创 小迪学习笔记 信息收集-源码
网站管理员在发布代码时,没有使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用.svn/entries文件,获取到服务器源码。Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。修复建议:删除web目录中所有.svn隐藏文件夹,开发人员在使用SVN时,严格使用导出功能,禁止直接复制代码。判断Git源码泄露存不存在,直接在网站后面加.git/
2023-11-09 21:05:43
86
原创 小迪安全2023学习笔记
这个也不是很准确,有可能一个值都对不上,但是可以依据自己ping出来的TTL值和上面对应看看比较相近的进行判断。windows不区分大小写,可以修改url中的字母的大小写,然后回车执行查看,页面有没有发生变化。Windows NT/2000/XP系统的TTL值为128,Windows 98系统的TTL值为32,Linux系统的TTL值为64或255,查看网站/博客是什么语言可从以下入手。UNIX主机的TTL值为255。不是看到了希望才去坚持。Linux区分大小写。而是坚持了才看到希望。
2023-11-09 19:07:15
1088
1
原创 密文加密,编码类型
BASE64 我们常见的编码,值是由数字”0-9”和字母”a-f”所组成的李符串,大小写敏感,结尾通常有符号(==),明文很少的时候没有。3.NELM这种加密是windows的哈希密码,标准通讯安全协议AES,4.DES,RC4这些都是对称性加密算法,引入密钥,击文特征与Base64类似。还有许多组合性的加密方式,例如先对密文进行md5,再salt类型,解密的时候我们就要注意。URI编码是由数字”0-9"和李母”a-f”所组成的李符串,大小写数感,通常以数字字母间隔,如图。,NEE: DLL封液代码文件。
2023-11-05 18:31:12
88
1
原创 小贾学习录-实现抓包模拟器app
这里可以自己下载程序,抓取数据包,得到host,然后再本机流浪其,针对host进行操作。我这里是学校的网络,内网ip,如果你是在家连接无线的话,应该是192.168开头的,注意区分不是VMnet这种的。注意:此ip为电脑本机的ip,可在命令窗口输入ipconfig,获取,端口配置选择一个不被占用的接口即可。点击WLAN偏好设置,点击高级,安装证书,跟着操作,安装完成,就可以实现app抓包了。打开无线,鼠标等同于手指操作即可,下拉,然后鼠标长按无线。1.burpsuite抓包软件。到达这里,点击右上角的笔。
2023-11-03 11:04:44
126
原创 网络安全基础
注入攻击最常见的形式,主要是指Web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在Web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询或其他操作,导致数据库信息泄露或非授权操作数据表。通常,攻击者通过远程攻击的方式获得root访问权限,或者是先使用密码猜解(破解)的方式获得对系统的普通访问权限,进入系统后,再通过对方系统存在的安全漏洞获得系统的root或system权限。通过网络进行的入侵行为。
2023-11-01 19:10:53
138
1
原创 windows注册表详解与操作
HKEY_CLASSES_ROOT(HKCR):包含文件扩展名与相应应用程序之间的关联信息,以及系统中注册的COM组件和类的信息。HKEY_CURRENT_USER(HKCU):存储当前用户的个人配置信息,如桌面背景、文件夹选项等。HKEY_LOCAL_MACHINE(HKLM):存储计算机的全局配置信息,如硬件、操作系统设置等。HKEY_USERS(HKU):存储每个用户的配置信息,每个用户都有一个对应的子键。HKEY_CURRENT_CONFIG(HKCC):存储当前计算机的硬件配置信息。
2023-10-29 21:31:01
4914
3
原创 MYSQL基础
数据库是一个实体,它是能够合理保管数据的仓库,用户在该仓库中存放要管理的事务数据,数据” 和“库两个概念结合成为数据库。所以,现在我们使用关系型数据库管理系统(RDBMS)来存储和管理大数据量。所谓的关系型数据库, 是建立在关系模型基础上的数据库,借助于集合代数等数学概念和方法来处理数据库中的数据。常见关系型与关系型数据库关系:MySQLMsSQLOrecal非关系型:MongoDBRedisNeo4jHBaseRDBMS即关系数据库管理系统的特点:1.
2023-10-23 18:51:05
124
原创 Metasploit(MSF)使用介绍-端口扫描
Metasploit是一种开源的渗透测试框架,用于评估和测试计算机系统的安全性。它提供了各种渗透测试工具和漏洞利用模块,帮助安全专业人员评估目标系统的安全弱点。Metasploit框架具有灵活性和可扩展性,可以用于发现、验证和利用计算机系统中的漏洞。它还提供了一个数据库,用于存储有关目标系统、漏洞和攻击的信息,方便安全专业人员进行组织和管理。Metasploit是一个非常受欢迎的工具,被广泛用于渗透测试、漏洞研究和开发安全工具等领域。
2023-10-17 23:21:48
502
原创 百度引擎整理
现在再引擎上搜索东西,有时候是非常费劲的,一时间难以找到我们想要的答案,还有诸多广告的陈列。学习语法帮助网站优化自己的内容,关键字搜索,提高准确性。查询词加上双引号表示所查询词不能被分开,在搜索结果中必须完整出现。查询词再加加号后,再查询结果中去掉不包含特定关键字的所有网页。site:zhihu.com small:sql注入。后,在查询结果中去掉包含特定的关键词所有网页。在特定站点中,搜索相关内容。例如:inurl:xss。后面跟的站点域名,不要带协议头。例如: 买课 -推广。和站点之间不要有空格。
2023-10-13 23:54:17
156
原创 HTML超链接,插入图片
声明为 HTML5 文档<html>元素是 HTML 页面的根元素<head>元素包含了文档的元(meta)数据,如定义网页编码格式为utf-8。<title>元素描述了文档的标题<body>元素包含了可见的页面内容<h1>元素定义一个大标题<p>元素定义一个段落。
2023-10-11 21:40:12
685
1
原创 SQL注入
盲注,即在SQL注入过程中,SQL语句执行查询后,查询数据不能回显到前端,我们需要使用一些特殊的方法进行判断或尝试,这个过程称为盲注;以sqli-labs-8为例。
2023-09-25 23:12:57
38
1
原创 注入中常见的SQL函数
exp()函数是以e为底的指数函数,当指数参数为正数时,返回值的大小迅速增加;position(substr in str)返回substr字符串在str中出现的位置,没有返回0。locate(substr,str)返回substr字符串在str中出现的位置,没有返。语句:select ascii(mid(user(),1));语句:select substring(user(),1,2);substring()函数,left(),mid()函数。语句:select left(user(),5);
2023-09-20 21:06:18
436
1
原创 java 学生管理系统
需求 :采用控制台的方法去书写学生管理系统public class Student { private String id; private String name; private int age; private String address; public Student() { } public Student(String id, String name, int age, String addres
2022-10-24 17:10:29
73
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人