- 博客(225)
- 资源 (2)
- 收藏
- 关注
RSS订阅原创 【区块链-智能合约工程师】第四篇:Truffle框架安装和介绍(Windows)
Truffle 是目前最流行的以太坊 DApp 开发框架,(按照官网说法)是一个世界级的开发环境和测试框架,也是所有使用了 EVM 的区块链的资产管理通道,它基于 JavaScript,致力于让以太坊上的开发变得简单。内置的智能合约编译,链接,部署和二进制文件的管理。合约自动测试,方便快速开发。脚本化的、可扩展的部署与发布框架。可部署到任意数量公网或私网的网络环境管理功能使用 EthPM 和 NPM 提供的包管理,使用 ERC190 标准。
2023-01-03 15:11:08
2950
1
原创 【区块链-智能合约工程师】第三篇:Solidity进阶(一)
String库合约是将uint256(大正整数)类型转换为相应的string类型的代码库,主要包含两个函数,toString()将uint256转为string,toHexString()将uint256转换为16进制,再转换为string。receive和fallback都能够用于接收ETH,他们触发的规则如下,简单说就是:只有msg.data为空且存在receive()时,才会触发receive()语句:添加完指令后,A 库的函数会自动添加为 B 类型变量的函数成员,可以直接调用。
2022-12-16 15:18:32
1267
原创 【区块链-智能合约工程师】第二篇:Solidity入门
引用类型(Reference Type):包括数组(array),结构体(struct)和映射(mapping),这类变量占空间大,赋值时候直接传递地址(类似指针)。包含pure跟view关键字的函数是不改写链上状态的,因此用户直接调用他们是不需要付gas的(合约中非pure/view函数调用它们则会改写链上状态,需要付gas)。payable(可支付的)很好理解,带着它的函数,运行的时候可以给合约转入ETH。解构式赋值:solidity使用解构式赋值的规则,支持读取函数的全部或部分返回值。
2022-12-16 10:32:44
1158
原创 【安卓应用渗透】第一篇:安卓逆向回顾和梳理-2211
开启代理,下载apktool.bat,下载apk-tool_2.4.1.jar,重命名为apktool.jar,把apktool.bat和apktool.jar剪切到C:\Windows目录下,就可以在命令行运行apktool软件啦。每个安卓应用系统都一定有AndroidManifest.xml文件,为Android系统提供应用的基本信息,系统必须获得这些信息才能运行任意应用代码。文档在线阅读:http://hukai.me/android-training-course-in-chinese/
2022-11-19 02:11:58
1282
原创 【区块链-前端交互】第六篇:以太测试网转账和Gas计算
根据以太坊浏览器里的实时Gas价格,1eth=10亿Gwei,一次转账需要21000Gas,当前Gas单价为 14Gwei,也就是一次转账需要美刀:(0.000000001**21000*14)*1579$/eth=$0.464226,刚好能够对应图里的 $0.46。通过 goerli-faucet.pk910.de/ 地址在线挖测试币,竞争很大,要挖 1 个小时左右才能获得最低提现额度 0.02 GöETH。根据测试网-不设置Gas进行转账的交易数据,来分析一下交易Gas。排查:问题出在对象及其方法上,
2022-11-06 11:12:21
1278
原创 【区块链-前端交互】第四篇:认识 ethers.js并运行测试代码
每次和链交互的调用需要用到await,再把这些这些用async函数包裹起来,最后再调用这个函数。Node.js已经实现了99%的ES6新特性,采用的却是CommonJS规范,使用require引入模块,使用module.exports导出接口,所以使用。ethers.js是一个完整而紧凑的开源库,用于与以太坊区块链及其生态系统进行交互。如果你要写Dapp的前端,你就需要用到ethers.js。在ethers中,Provider类是一个为以太坊网络连接提供抽象的类,它提供对区块链及其状态的。
2022-11-02 17:03:25
1555
原创 【区块链-前端交互】第三篇:JS 基础语句和函数、对象和类class
为了完全启用现代 JavaScript 的所有特性,我们应该在脚本顶部写上 “use strict” 指令,该指令必须位于 JavaScript 脚本的顶部或函数体的开头。“symbol” 值表示唯一的标识符 / 变量,我的个人理解,主要作用是为了避免。创建函数还有另外一种非常简单的语法,并且这种方法通常比函数表达式更好。函数对外部变量拥有全部的访问权限,函数也可以修改外部变量。全局变量:任何函数之外声明的变量,都被称为全局变量。函数表达式允许省略函数名。如果在函数内部声明了同名变量,那么函数内该。
2022-11-02 14:43:25
232
原创 【区块链-前端交互】第二篇:NodeJS 认知和 JS 基础语法
解释型脚本:脚本被以纯文本的形式提供和执行。它们不需要特殊的准备或编译即可运行。执行环境:如今,JavaScript 不仅可以在浏览器中执行,也可以在服务端执行,甚至可以在任意搭载了 JavaScript 引擎 的设备中执行。引擎类型:浏览器中嵌入了 JavaScript 引擎,有时也称作“JavaScript 虚拟机”。V8 —— Chrome、Opera 和 Edge 中的 JavaScript 引擎。SpiderMonkey —— Firefox 中的 JavaScript 引擎。
2022-11-01 12:20:08
420
原创 【区块链-前端交互】第一篇:使用python交互以太测试网(奔向JS)
经过资料检索和尝试,发现 Python 的 Web3 类库相关的教程资料很少,但 JavaScript 的教程很多,所以计划学习 JavaScript 与区块链网络进行交互。使用 infura 提供的节点连接不上以太坊主网,根据参考文章选择以太坊主网的 RPC 进行调用连接,成功查询到个人钱包的。每个类evm的公链都有很多RPC,当你不知道某公链的RPC,可以去 chainlist.org 搜索。接入以太网网络,要首先连接到以太坊网络节点,然后通过节点与公链中的应用进行交互。
2022-10-31 11:52:21
1030
原创 【Python复用脚本】根据excel表格的IP和资产归属部门,保存docx文件到部门目录
【Python复用脚本】根据excel表格的IP和资产归属部门,保存docx文件到部门目录
2022-09-28 10:40:20
1077
原创 【Go编程】打包 Json 文件到 exe 程序
创建 paramsFuzz.json 文件,定义多层嵌套的 Json 数据格式。然后在 main.go 中定义对应数据格式的结构体,把配置文件中的数据读取到程序中,运行没有问题。它通过//go:embed指令,可以在编译阶段将静态资源文件打包进编译好的程序中,并提供访问这些文件的能力。:在embed中,可以将静态资源文件嵌入到三种类型的变量,分别为:字符串、字节数组、embed.FS文件类型。:编译打包过程中,不会打包 Json 文件,导致程序运行时无法读取 Json 配置文件,如图。......
2022-08-04 15:27:02
976
原创 【静态分析】【系列1-南大软件分析】2.1 认识Java的Soot静态分析框架(待补充)
文章目录前言Soot 的类型三地址码:JimpleSoot 相关链接Soot 是什么?Soot 最初的作用官方旧指南:2008年1.1版本前言Soot 的类型三地址码:Jimple李樾老师的《软件分析》课程02(Intermediate Representation)中介绍了 3AC(3-Address Code,三地址码),并且使用 Soot 的 IR 举例介绍真实场景下的三地址码:Jimple(typed 3-address code)。由于 Java 是有类型的,静态分析很多时候要用到语言的类
2022-05-19 09:34:08
828
原创 【毕设扫描器】【参数Fuzz】第二篇:动态爬虫的创建、启动和协程池
文章目录Crawlergo发送请求的代码节点设置代理调试寻找(未抓到包)WireShark抓包Crawlergo发送请求的代码节点// crawlergo_cmd.go 代码 311 行// 开始爬虫任务 task, err := pkg.NewCrawlerTask(targets, taskConfig) if err != nil { logger.Logger.Error("create crawler task failed.") os.Exit(-1) } …… go
2022-04-13 19:36:51
746
原创 【毕设扫描器】【参数Fuzz】第一篇:数据的定义、读取和装配(爬虫数据和Payload数据)
文章目录在项目根目录创建 fuzzDicts 目录,创建 fuzzDicts/params.json,用于测试参数。参数测试Payload格式:不同的漏洞类型、漏洞类型下不同的软件系统、对应Payload。一级数据是漏洞类型,如 SQLI、XSS等,数据结构是字典格式。二级数据是漏洞类型的下一级数据,可能需要根据不同软件类型选择 Payload,所以也要使用字典格式。二级数据如果不分软件类型,则定义键名为 universal。(还要单独输入一个字段,而大多数情况都不知道软件类型,还是要枚举测试所有P
2022-04-07 22:34:46
2956
原创 【Golang】编程问题报错解决记录
文章目录同级目录引用其他文件内容引用报错:undefined引用报错:import cycle not allowed同级目录引用其他文件内容@Date:2022-04-05Crawlergo项目中,Crawlergo/cmd/crawlergo/crawlergo_cmd.go 通过 "crawlergo/pkg/config" 引用某个目录。在 crawlergo_cmd.go 同级目录下创建 paramsFuzz.go,由于想和 crawlergo_cmd.go 的数据结构保持一致,计划引用该
2022-04-05 14:03:12
3798
原创 【毕设扫描器】【动态爬虫】CrawlerGo源码分析1:主文件cli库的使用
文章目录配置运行参数main函数1:cli结构介绍和简单使用结合源码分析cli 库的定义:75-258行(大体完成阅读)cli库代码的漏网之鱼自定义主方法run():配置运行参数入口文件:根据项目提供的编译命令找到入口文件 crawlergo_cmd.go。入口函数:找到65行的 func main()函数,在主函数的代码中下断点。配置:添加程序实参(chrome程序路径必须加引号,否则会报错:navigate timeout http://127.0.0.1/upload-labs-master
2022-03-24 23:31:47
1038
原创 【漏洞扫描器】AWVS扫描器简单分析
文章目录0x01 前言0x02 抓包0x01 前言0x02 抓包第一个请求包GET / HTTP/1.1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Encoding: gzip, deflateUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chr
2022-02-23 15:36:58
2627
原创 【毕设扫描器】【动态爬虫】CrawlerGo直观使用效果分析
文章目录当前进度自主摸索爬虫主要参数说明初测(调用脚本只打印请求信息,需要修改)根据文章和项目信息学习使用date:2022-01-30当前进度可执行程序:下载项目文件,通过下载库完成编译,生成可运行的 exe 程序。调试:IDEA使用插件Go配置环境变量,可成功在IDEA中运行项目。本节内容:使用 CrawlerGo 对 DVWA 靶场进行实战应用,查看效果。自主摸索爬虫主要参数说明参数:crawlergo [global options] url1 url2 url3 … (must
2022-01-31 03:09:28
1695
原创 【CNVD证书】Alkacon OpenCms_安装和配置
文章目录下载下载代码压缩包参考文章安装项目根目录Tomcat应用服务器配置安装OpenCms配置opencms参考文章下载下载代码压缩包简介:OpenCms是一个专业级别的开源网站内容管理系统。OpenCms可以非常容易的帮助建立和管理复杂的网站而无需专业的HTML知识。当使用一个复杂的模板引擎来规划站点,它提供一个类似于我们熟知的office应用的所见即所得编辑器来帮助使用者创建内容。OpenCms是一个完全开源的软件,它不需要任何许可费用。访问 OpenCms官网,需要注册才能下载,点击注册提示
2022-01-22 15:05:42
2533
原创 使用 Python 编写文件上传漏洞Poc
文章目录前言调试过程人工上传的请求数据构造请求头构造请求的文件字典调试最新上传脚本前言之前写过文件上传相关的利用脚本,但是一直不太明白,也遗憾AWD攻防时没用到自动文件上传木马。审计到一个文件上传漏洞,刚好要编写Poc,所以花点时间写一个小本。参考:PHP_Session文件上传利用:文件包含网络爬虫-使用requests上传multipart/form-data格式文件调试过程人工上传的请求数据POST /glfusion-1.7.9/public_html/admin/plugins
2022-01-07 16:00:42
5012
原创 腾讯云服务器 Centos7 运维
文章目录添加PHP上传页面PHP文件代码踩坑move_uploaded_file()返回false文件大小添加PHP上传页面PHP文件代码<?php$is_upload = false;$msg = null;if (isset($_POST['submit'])) { $temp_file = $_FILES['upload_file']['tmp_name']; $img_path = "uploads" . '/' . $_FILES['upload_file'
2021-12-14 14:59:15
907
原创 Windows 配置 Xdebug 进行动态调试
文章目录下载Xdebug动态链接库配置PHP下载Xdebug动态链接库Mac配置教程之前写过,见 给Mac安装配置PHPStorm和Xdebug访问 官网下载地址,下载 PHP 7.2 VC15 (64 bit) dll 文件。配置PHP本地选择 PHP Version 7.2.9,复制动态链接库 Xdebug.dll 到 PHP目录。打开 php.ini,在末尾粘贴如下配置代码,注意路径要与本地相符,在/tmp/目录下新建一个 xdebug 目录用于存放输出文件。zend_extens
2021-12-02 13:45:04
712
原创 【VMware虚拟机】网络适配器使用记录
文章目录桥接模式虚拟机能够借助宿主机静态IP进行 Nessus 扫描实验过程对照测试使用小结桥接模式虚拟机能够借助宿主机静态IP进行 Nessus 扫描@author: 南瓜pump@date: 2021-11-30实验过程事项说明备注内网IP配置静态IP-问题NAT模式,虚拟机中配置 有线连接 静态IP,无法ping通内网主机-解决桥接模式(并复制物理网络连接状态),宿主机配置静态IP、虚拟机配置了静态IP结果:虚拟机开启 Nessus 服务成功
2021-11-30 16:28:56
3207
原创 FastJson反序列化漏洞(实验文章)
文章目录Json数据格式FastJson类库Json的三个类库下载Jar压缩包Autotype功能参考Json数据格式JSON是一种轻量级的数据交换格式,全称:JavaScript 对象表示法(JavaScript Object Notation)类比XML,你可以把JSON看作是一种存储数据的格式类型,一种数据规范。描述JSON格式数据的语法只是采用了JS对象字面量的表示方法,它独立于语言存在,只是在不同的编程语言中对这种数据类型的实现不同。FastJson类库Json的三个类库Java处理J
2021-11-25 15:59:21
567
原创 web 漏洞扫描和验证工具:Vulmap使用
文章目录项目概述项目简介项目事项表漏洞探测使用主要参数说明项目概述项目简介Vulmap 是一款 web 漏洞扫描和验证工具, 可对 webapps 进行漏洞扫描, 并且具备漏洞利用功能, 目前支持的 webapps 包括 activemq, flink, shiro, solr, struts2, tomcat, unomi, drupal, elasticsearch, fastjson, jenkins, nexus, weblogic, jboss, spring, thinkphpVulma
2021-11-16 11:30:20
1230
原创 Web指纹识别器系列2:他山之石,可以攻玉
bscan主要应用范围EHole是一款对资产中重点系统指纹识别的工具,在红队作战中,信息收集是必不可少的环节,如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic…)。EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统,从而实施进一步攻击。Dismap 定位是一个资产发现和识别工具;其特色功能在于快速识别 Web 指纹信息,定位资产类型。辅助红队快速定位目标资产信息,辅助蓝队发现疑似脆弱点Dismap 拥有完善的指纹规则库,可轻松自定义新识别规
2021-11-16 11:13:45
3348
原创 指纹识别软件:EHole(棱洞)使用记录
文章目录参数说明输出参数-json使用记录使用记录踩坑事项工具地址:EHole(棱洞)3.0 红队重点攻击系统指纹探测工具参数说明查看参数说明:Ehole3.0-Win.exe -h。棱洞只提供 10个短参数四个Fofa搜索参数两个参数分别是说明参数和日志名参数两个目标参数一个线程参数一个输出参数输出参数-json1.输出TXT文件:-json result.txt,没有高亮显示,但勉强能看{"url":"https://mtmall.zjmi-mall.com","cms":[
2021-11-15 17:46:49
3373
1
原创 Web指纹识别器系列1:开源项目搜集和反思
文章目录前言指纹识别工具百度检索Github在线识别信息整理筛选工具在线平台反思总结(20%关键)前言本文用时信息搜集和整理:60 minutes(then have a rest)站在巨人的肩膀上:总耗时:Web应用指纹库是信息收集中很重要的一部分,个人理想中的指纹识别软件,通过指纹识别,不仅可以判定组件名称和版本号,甚至还可以打印收集的 历史漏洞,是武器库中不可或缺的一部分。思路:计划把 Web应用指纹库 模块添加到个人扫描器中,之前也会见到御剑指纹扫描器、某司内部指纹扫描器等等,先收
2021-11-15 10:36:48
1835
原创 【复用代码】Python接收命令行参数:argparse模块
文章目录概述参数设置概述以前简单探索过命令接收模块,地址 Python接收命令行参数的3种方法。准备写软件,看了 SQLMap lib/parse/cmdline.py 接收命令的代码如下,看了 argparse中文官方文档,先简单探探路。def cmdLineParser(argv=None): """ This function parses the command line parameters and arguments """ if not argv:
2021-11-12 22:41:19
934
原创 《Spring in action 中文版(第4版)》1.1 简化Java开发
文章目录1.1.1 激发POJO的潜能POJO: 简单的Java对象JavaBean1.1.2 依赖注入一句话总结测试问题和实现DI向Bean注入接口的实现对象上下文1.1.1 激发POJO的潜能POJO: 简单的Java对象“Plain Old Java Object”“简单java对象”。POJO的内在含义是指那些没有从任何类继承、也没有实现任何接口,更没有被其它框架侵入的java对象。JavaBeanJavaBean是一个遵循特定写法的Java类,是一种Java语言编写的可重用组件,它的方
2021-11-11 18:58:49
688
原创 Jspxcms 目录结构
文章目录Web目录说明Web根目录:ROOT后台JSP文件常见 WEB-INF 目录JspxCMS 10.2.0 的 WEB-INF 目录二次开发系列教程源代码目录结构webapp目录Java源码resources目录Web目录说明参考:Jspxcms无侵入式二次开发教程(V7)/ 2017浅谈JSP - 知乎 / 2021Web根目录:ROOTWeb 根目录:Tomcat 的 Web 根目录是 /webapps/ROOT,所以 Jspxcms 的 Web 根目录相同。ROOT 目录主要有
2021-11-11 17:28:57
656
原创 Windows安装Jspxcms内容管理系统
文章目录概述系统介绍系统安装概述系统介绍介绍:Jspxcms 基于 Java 的内容管理系统相关技术:SpringBoot:提供了对Spring开箱即用的功能Spring:是提供了IoC等功能,Java企业级开发框架SpringMVC:MVC框架,使用方便,Bug较少JPA:持久化框架。属于JSR标准,JPA实现选择HibernateShiro:安全组件。配置简便Bootstrap:响应式设计前端框架UEditor:Web富文本编辑器系统安装官网下载地址,但官网只提供最新版本下
2021-11-10 23:14:51
1475
原创 爬虫:爬取Github项目结构、任意文件下载存储
文章目录场景描述爬取 Github 项目的文件结构爬取 Laravel 8.x 文件结构编写脚本访问 Github 连接超时requests 读取时间超时爬取脚本场景描述需求:发现 任意文件下载漏洞 后,可能需要下载源码进行代码审计。问题:burpsuite 拦截 HTTP/HTTPS 流量,不能使用 Intrude 模块通过文件路径字典来下载文件。启发:遇到这个问题后,当时是采取手工访问来下载文件。前两天看了 @L4ml3da师傅 的内部分享视频讲到了 selenium,19年曾经拿 seleni
2021-11-09 10:06:10
2604
3
原创 查找 CKEditor 编辑器公开Poc(收获寥寥)
文章目录漏洞编号 CVE-2021-37695 : XSS检索 CVE、NVD-CVE、cvedetails - 无检索 Github检索 Twitter检索 Google检索 vuldb.com/zh检索 cybersecurity-help.cz/vdb总结参考:cvedetails-keditor : Security Vulnerabilities 漏洞编号 CVE-2021-37695 : XSS公布时间2021-08-13检索 CVE、NVD-CVE、cvedetails - 无检索
2021-10-27 10:47:13
3005
4
原创 CKEditor 历史漏洞复现:CVE-2014-5191(无Poc)
文章目录选择测试版本 4.4.2安装 2015 年发布版本 4.4.2npm 安装 - 未成功bower 安装 - 成功页面引用 CKEditor寻找并测试漏洞选择测试版本 4.4.2根据官方公告的漏洞修复情况来看,第一个选择最好是 4.4.2。安装 2015 年发布版本 4.4.2npm 安装 - 未成功访问 CKEditor 4 官方指南,查看 [Getting Started]模块。新建 down-test 目录,测试不同命令的安装结果。npm 安装命令执行结果npm
2021-10-27 10:12:29
6054
原创 告警流量分析:Cobalt Strike(默认实验文)
文章目录前言从去除流量特征反推分析流量包200815084549005001_tmp.pcap - 无有用信息200929112751005001_tmp.pcap - 无有用信息流量包协议可疑 IP 地址犯错 - one hour passed201021151312005001_tmp.pcap - 有用信息第一段数据TCP 流所有 description源地址筛选:ip.src == 10.160.161.16源地址筛选:ip.src == 10.150.187.155总结前言软件一般都有流量特征
2021-10-26 15:14:11
2592
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人