qq_73792226的博客

原创 bp的模块被隐藏了

就好了，如果有其他问题可以留言，看到可进我的努力给你解决。这里有被我们隐藏的模块，比如代理等，把前面的眼睛点一下。这个模块就出来了，如果想把他固定在任务栏里。看我们现在没有代理那个模块了。

原创 B/S架构和C/S架构

B/S架构是一种网络架构模式，用户通过Web浏览器来访问应用程序。在这种架构中，客户端主要负责用户交互和显示界面，而服务器则负责业务逻辑和数据处理。

原创 内网与外网的区别

内网（局域网，LAN）：是指在某一区域内由多台计算机以及网络设备构成的网络，一般覆盖方圆几公里，如校园网、政府网等。它是一个封闭型的网络，主要由办公室内的计算机或公司内的计算机组成，用于实现内部设备之间的通信和资源共享。外网（广域网，WAN/公网）：是连接不同地区局域网或城域网计算机通信的远程网，通常跨接很大的物理范围，从几十公里到几千公里不等。它是全球范围的互联网，是连接所有内网以及其他网络的公共网络，允许用户访问各种在线服务、网站和资源。

原创 漏洞的防御

Referer校验是一种简单的CSRF防御措施，它检查HTTP请求中的Referer头部信息，确保请求来源是合法的。Referer头部通常由浏览器自动发送，包含了请求来源页面的URL。SameSite Cookie属性是一种防止跨站请求伪造的新方法。通过设置Cookie的SameSite属性，可以限制浏览器在跨站请求中发送Cookie。

原创 pikachu下

url变成了这样了，我们就可以新开个页面直接拿url去修改密码。

原创 Pikachu靶场通关教程

我们尝试写入一个IP地址，比如127.0.0.1（本机的回环地址）接下来我们尝试和IP进行拼接查询语句，比如whoami，net user ，netstat -an 等等这样九爆出了用户名，接下来我们看看源代码，以下是主要的一段代码主要的问题是他没有对用户的输入进行任何的过滤，才会出现远程代码执行的漏洞。

原创 upload-labs通关教程

首先准备一个php小马这是调用phpinfo这个函数，查看php的配置信息首先上传1.php发现使用BP抓不到包，猜测被前端验证了，查看网页源代码可以看到下面有一段js代码过滤了，只能传.jpg/.png/.gif，进行了白名单过滤，所以我们需要禁用前端的js代码使用这个扩展可以禁用前端代码的执行，也可以直接按F12进入开发者模式，在按F1进入设置这里可以禁用js代码右键在新窗口打开，出现下面的页面就成功了。

原创 DVWA通关教程

单参数爆破，多参数时使用同一个字典按顺序替换各参数，只有一个数据会被替换在password的变蓝的地方添加playload在这里配置字典，可以看到payload是password的时候长度有变化，所以password就是密码。

原创 PHP-SER-libs靶场通关(1-9)

就会直接终止，所以我们就要绕过这个匹配，在序列化后也就是在0:6中6的前面加上一个符号使其不被匹配上所以就有了payload。先让body成为my类里的，在让body去调用project，因为my类里没有project所以会调用__call方法。在you类中，有一个destruct方法，内将pro赋值给变量project再调用本类中的body中的project。本关对输入的param进行了一个%的过滤，而且类中的属性的变量是私有属性。当array内包裹的第一个值是对象，第二个是对象内的方法时。

原创 xss-labs-master通关教程

abc

原创 PHP代码审计

目的：对源代码进行审计，寻找代码中的BUG和安全漏洞。

原创 应急响应（Linux）

【代码】应急响应（Linux）

原创 应急响应（Windows）

【代码】应急响应（Windows）

原创 MySQL

定义与特点MySQL是一个关系型数据库管理系统（RDBMS），使用SQL（结构化查询语言）进行数据库管理。它支持多种操作系统，如Windows、Linux、Mac OS X等，具有跨平台兼容性。MySQL提供丰富的API接口，支持多种编程语言，如C、Java、Python等。安全性高，提供访问控制列表、SSL支持、密码加密等安全特性。版本与安装MySQL的主流版本包括5.7和8.0，这些版本在功能和性能上有所差异，但基本操作和语法保持一致。

原创 fastjson反序列化漏洞

Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库，广泛应用于Web开发、数据交换等领域。然而，由于Fastjson在解析JSON数据时存在安全漏洞，攻击者可以利用该漏洞执行任意代码，导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题，需要引起足够的重视。开发者应该及时关注安全公告，升级Fastjson版本，并加强输入验证和安全管理。同时，用户也应关注系统安全，定期进行安全审计和监控，以确保系统的安全性。

原创 Redis数据库

【代码】Redis数据库。

原创 OWASP Top 10安全漏洞

1. 注入漏洞（Injection）原理：攻击者向应用程序中输入恶意代码，使其执行未经授权的操作。 常见类型：SQL注入、OS命令注入等。 防御措施：使用预编译语句或存储过程进行数据库查询；对输入进行严格的验证和清理；使用ORM框架等。2. 失效的身份认证（Broken Authentication）原理：身份认证机制不健全，导致攻击者能够绕过认证机制，冒充其他用户。 常见类型：密码猜测、会话劫持等。 防御措施：使用多因素认证增强安全性；采用强密码策略并定期更换密码；对会话管理进行加密等。

原创 JavaScript基础

定义：JavaScript是一种具有函数优先的轻量级、解释型或即时编译型的编程语言。它主要用于增强用户和HTML页面的交互过程，控制HTML元素，使页面具有动态效果。发展历史：JavaScript在1995年由Brendan Eich发明，并于1997年成为ECMA标准。ECMAScript6（ES6）是最主流的JavaScript版本，发布于2015年。特点跨平台：可以在多种浏览器和设备上运行。面向对象：支持面向对象编程范式。动态类型：变量类型在运行时确定，不需要事先声明。

原创 CSS基础

【代码】CSS基础。

原创 html基础

【代码】【无标题】

原创 常见的加密算法

非对称加密算法，也称为公钥加密算法，使用一对密钥进行加密和解密操作：公钥用于加密数据，私钥用于解密数据（或私钥用于签名，公钥用于验证签名）。这类算法的优点是密钥管理方便，但加密和解密速度相对较慢。哈希算法，也称为散列算法或消息摘要算法，是一种将任意长度的输入数据通过特定算法变换成固定长度输出值的算法。哈希算法的特点是单向性，即无法从输出值还原出原始输入数据。对称加密算法是指加密和解密使用相同密钥的算法。这类算法的优点是加密和解密速度快，但缺点是密钥的管理和分发较为困难。

原创 Web应用防火墙

一、定义与目的WAF是一种特殊类型的防火墙，专门设计用于监视、过滤和阻挡进出Web应用的HTTP流量。其主要目的是保护Web应用免受如XSS（跨站脚本）、SQL注入、会话劫持等网络攻击。

原创 蜜罐简单介绍

定义：蜜罐是一种被设计成看似易受攻击的目标的安全系统，用于吸引黑客前来攻击，以便收集攻击者的信息、技术、工具和意图。功能识别潜在的威胁：蜜罐可以模拟各种不同类型的系统和服务，吸引攻击者前来攻击。通过监控攻击者的行为，网络管理员可以及时发现潜在的威胁，并采取相应的防范措施，保护网络安全。收集攻击者信息：蜜罐能够收集攻击者的IP地址、攻击方式、工具和技术等信息。这些信息对于分析攻击者的行为模式、识别攻击手段和制定有效的安全策略至关重要。降低风险。

原创 堡垒机介绍

定义：堡垒机是一种用于控制和管理网络安全的重要工具，提供安全的远程访问和管理权限控制。主要功能远程访问控制：作为访问内部网络的唯一官方门户，堡垒机严格把关每一位用户的身份验证与授权流程，确保只有合法用户才能访问内部网络资源。审计与监控：堡垒机详尽记录每一次操作轨迹，包括登录日志、操作日志等，构建起一道坚不可摧的数字防线，极大提升了网络环境的整体安全性。资源管理：支持文件和数据的加密和共享，帮助用户安全地访问文件系统、共享文件夹和其他敏感信息。数据备份与恢复。

原创 IPS与IDS

IDS（入侵检测系统，Intrusion Detection System）和IPS（入侵防御系统，Intrusion Prevention System）是网络安全领域中的两个重要概念，它们在保护网络免受恶意攻击方面发挥着不同的作用。下面将分别详解IDS和IPS，并比较它们之间的区别。一.IDS（入侵检测系统）定义与功能IDS是一种安全系统，用于监视网络或系统的运行状况，以发现潜在的攻击企图、攻击行为或攻击结果。它通过分析网络数据包、审查日志文件、检测异常行为或特定的攻击模式来提供网络安全防护

原创 防火墙详解

防火墙（Firewall）是一种网络安全系统，它根据设定的安全规则或策略来控制网络之间的数据流。这些规则定义了哪些数据包可以被允许通过，哪些应该被阻止。防火墙通常部署在网络的边界处，作为内外网络之间的安全屏障，以防止潜在的恶意访问和数据泄露。

原创 逆向工程基础

定义：逆向工程（Reverse Engineering）是一种产品设计技术再现过程，即通过对已有产品进行拆解、分析、研究和再设计，以获取其设计原理、技术规格等信息。目的：在不能轻易获得必要的生产信息或设计文档的情况下，通过逆向工程推导出产品的设计原理，以支持产品仿制、改进、维护或修复等需求。

原创 windows安全加固

一、补丁管理及时安装补丁：定期检查和安装Windows系统及其应用程序的更新和补丁，以修复已知的安全漏洞。可以使用Windows Update功能或第三方补丁管理工具来实现。 补丁管理策略：对于无法直接访问互联网的服务器，可以建立内部补丁服务器（如WSUS），定期从微软官网下载并分发补丁。二、账户管理禁用无用账户：删除或禁用不再需要的用户账户，特别是默认账户如Guest账户。 账户权限分配：根据业务需求和最小权限原则，为每个账户分配适当的权限，避免权限过大导致的安全风险。 密码策略：设置强密

原创 linux安全加固

1. 账号管理与认证授权分配不同账号：为不同的管理员分配不同的账号，以提高安全层级。 修改sudo权限：限制sudo的使用，确保只有必要的用户才能执行特定命令。 删除不必要的账号：删除系统不需要的默认账号，减少潜在的安全风险。 限制超级管理员远程登录：禁用root用户的远程登录，使用普通用户登录后再切换到root。 设置强密码策略：包括密码长度、复杂性、有效期和强制密码历史等，以增加密码破解的难度。2. 防火墙配置启用防火墙：使用iptables或firewalld等工具配置防火墙规则，限

原创 Dos与DDos

DoS攻击是一种恶意网络攻击手段，攻击者通过各种方式，使目标系统或网络资源无法为合法用户提供正常服务。其目标并不是非法获取数据，而是迫使服务中断，降低业务可用性。

原创 PHP反序列化漏洞

PHP的序列化和反序列化是PHP中用于存储或传输PHP的值的一个过程。序列化是将变量转换为可存储或传输的字符串的过程，而反序列化则是将这些字符串转换回PHP变量的过程。当序列化一个对象时，PHP会保存对象的类名、对象的所有属性（包括私有和受保护的属性），以及这些属性的值。攻击者可以通过构造一个特制的序列化字符串，该字符串在反序列化时会触发某些有害的行为，如执行任意代码、修改应用程序的状态或泄露敏感信息。反序列化是序列化的逆过程，即将序列化的字符串转换回PHP的原始数据结构。的对象，该对象有一个名为。

原创 java基本语法

Java中的注释用于解释代码，提高代码的可读性。注释不会被编译器执行，因此不会对程序的执行结果产生影响。Java支持单行注释（//）、多行注释（/Java是强类型语言，它要求变量的使用必须严格符合声明时的类型。Java的数据类型分为基本数据类型和引用数据类型。Java中的流程控制语句用于控制程序的执行流程，包括顺序结构、选择结构和循环结构。Java中的运算符用于执行各种算术运算、赋值运算、关系运算、逻辑运算等。/）和文档注释（/**...*/）。

原创 C++基本语法

C++的基本语法涉及多个方面，包括程序结构、数据类型、变量、常量、运算符、控制结构、函数、数组、字符串、指针等。掌握这些基本概念和语法是学习和使用C++的基础。

原创 四大博弈模型

0，记 n = k ∗ ( m + 1 ) + r n=k*(m+1)+r n=k∗(m+1)+r，先者取走 r 个，那么设后者 t 个，只要先者拿 ( m + 1 − t ) (m+1-t) (m+1−t)个，即始终和后者拿的数目之和为 ( m + 1 ) (m+1) (m+1),先手必胜。定义：有一堆物品，共 n 个，两人轮流取物，先手可取任意件，但不能不取，也不能把物品取完，之后每次取的物品数不能超过上一次的两倍，且至少为1件，取走最后一件物品的人获胜。

原创 XXE漏洞

1.DTD是用来定义XML文档的合法构建模块，DTD可以声明在XML文档中，也可以作为一个外部引用。2.XML文档内部引用（XML文档内部语法 ： ）> //不屑默认UTF-8DOCTYPE note [ //定义此文档是 note 类型的文档。

原创 SQLMAP自动化注入工具命令

原创 linux常见的命令

一.linux常见的命令（个人笔记）

原创 DOM常见的命令

一.DOM常见的命令（个人笔记）

原创 文件上传漏洞与文件下载漏洞

文件上传漏洞是指Web应用程序在处理用户上传的文件时，由于缺乏对上传文件的严格检查和处理，导致攻击者可以上传并执行恶意文件的安全问题。

原创 CSRF与SSRF

CSRF定义：CSRF是一种由攻击者构造形成，利用用户在已登录的网站中提交非法请求的行为。攻击者通过伪造用户提交的请求，将恶意请求发送至受信任的网站，导致用户在不知情的情况下执行恶意操作。原理：CSRF攻击利用了网站对用户网页浏览器的信任。攻击者通过诱使用户访问一个恶意网页（通常是通过邮件、消息或恶意网站链接），该网页中包含了一个指向受信任网站的恶意请求。由于用户的浏览器在访问该网站时已经处于登录状态，因此这个恶意请求会携带用户的认证信息（如Cookie），从而被受信任的网站信任并执行。SSRF。