自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

u011215939的博客

着一笠烟雨,静候天光破云。

原创 APK签名及查看签名信息

APP在安装前,需要进行签名,keytool工具可以生成证书,通过生成的证书来进行签名。 keytool工具在javaJDK中有,在android开发SDK中也有这个工具; keytool -genkeypair -alias mykey -keyalg RSA -keystore...

2019-07-11 15:37:27

阅读数 37

评论数 0

原创 xposed+justTrustme使用与分析

xposed+justTrustme使用与分析 有时候在测试APP抓取数据包,配置正常,网络也是正常的,但就是抓取不到数据包;这可能是APP做了证书验证,APP通过进行证书验证,判断当前手机是否开启了代理端口,判断当前网络环境是否是证书所允许;如果开启了代理,APP中的数据流量就不会通过代理端口...

2019-07-11 11:42:32

阅读数 622

评论数 0

原创 adb连接AndroidKill、DDMS

ADB连接AndroidKill、DDMS、AndroidStudio 这篇是接着《ADB连接android手机》这篇博客;最近在使用AndroidKill、DDMS、AndroidStudio这些工具进行APP测试的时候发现这些工具可以连接模拟器,但是我搜索过有些有教程但是有些却没有。这段...

2019-03-26 10:44:05

阅读数 57

评论数 0

原创 win系统加固基础版---[曾经的笔记]

1、账户安全 1、账户分配 应为不同用户分配不同的权限 每一个用户包含一个名称和一个密码 用户账户拥有唯一的安全标识符(SID) whoami /user //查看用户标识 应对administrator账户进行重命名,并禁用guest(来宾)账户 应删除或锁定过期账户、无用账户 ...

2019-03-20 15:57:12

阅读数 57

评论数 0

原创 PHP反序列化初探

PHP反序列化初探 php序列化是什么? 在反序列化之前,先来看看php序列化是什么样的,php序列化和反序列化由serialize()和unserialize()这两个函数进行相互转化的,简单的说就是serialize()将一串字符串、数组、对象进行格式化处理,然后再有unserialize(...

2019-03-20 15:44:14

阅读数 63

评论数 0

原创 使用NSA工具环境搭建--win7下python2.6.6安装pip踏过的坑---天坑

前期准备 这两天准备搭建一个NSA工具利用环境,看网上的资料发现一般都是在XP和win7上面运行的,于是我就使用了win7x64系统,刚开始一切都很顺利,安装javajdk,安装python,结果却不能执行成功,这让我很郁闷,会遇到一个“ Fatal error in launcher: Un...

2019-01-26 15:06:16

阅读数 169

评论数 0

原创 ADB连接android手机

ADB连接android手机 下载ADB连接工具 adb.exe是android开发包的一个插件,可以在官网上下载LINK。 运行adb.exe软件直接使用DOS命令就行;同时切换执行目录。 我们现在执行一下看看是否能够执行; ;这里adb.exe执行后会出现一大片命令,这里没有截图...

2018-11-25 15:19:36

阅读数 1778

评论数 1

原创 XXE注入--XML外部实体注入(XML External Entity)

前言 很早就听说过这个漏洞,但是在实际的环境中很少遇见,最近碰到过XXE注入漏洞,于是就来研究一下XXE注入。 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问...

2018-05-19 17:40:52

阅读数 6282

评论数 0

原创 文本框中插入XSS脚本--「存储型」

文本框中插入XSS脚本–「存储型」 这几天在对一个站进行测试的时候,发现一个在文本框中插入xss脚本的新思路(可能不是新的……),经过验证可以成功插入并执行。所以想记录一下啦,觉得写得太渣的大佬勿喷。 1. 这是一个功能比较简单的公告发布编辑器 2. 先在可以输入的地方...

2018-04-12 10:41:14

阅读数 3961

评论数 0

原创 初级XSS跨站脚本总结

有点时间没有写东西了,最近加入了一个公司,主要是对网站进行渗透测试–找漏洞;刚刚开始做,所以都还还啦。目前经常遇见的主要是XSS和SQL注入,少部分的是信息泄露,图片上传没有二次编译,任意文件上传,CSRF等。但是在工作中发现自己对XSS脚本的一些语句不太熟练,这下可以总结整理一下了。 ...

2018-04-01 13:34:31

阅读数 376

评论数 0

原创 Jboss漏洞利用

所需工具:kallinux,jexboss,ZoomEye; JBoss应用服务器(JBoss AS)是一个被广泛使用的开源Java应用服务器。它是JBoss企业中间件(JEMS)的一部分,并且经常在大型企业中使用。因为这个软件是高度模块化和松耦合的,导致了它很很复杂,同时也使它易成为攻击者...

2018-01-23 17:04:34

阅读数 3305

评论数 1

原创 那些年踏过的CTF坑--pyscript~(四)

访问IP:http://106.75.108.111:1111/ 页面应该是需要我提交一些东西;看看网页源代码: 网页源码有提示:这里应该是需要用3个数字+所给的字符进行加密看看是否与Ciphertext相等,而且必须是10秒内提交!否则需要重新加密。这里需要我们编写...

2018-01-19 17:07:23

阅读数 361

评论数 0

原创 那些年踏过的CTF坑--GetFlag~(三)

遇到一个写脚本的CTF了,刚刚开始我还以为需要SQL注入之类的,但是分析网页源码发现没有action操作,应该是本文件自己提交,自己验证的!具体情况如下: 访问IPhttp://106.75.26.211:2222/ 呃呃呃~很简单的页面,只有一个login的登录按钮,网页源码...

2018-01-19 11:26:16

阅读数 831

评论数 0

原创 那些年踏过的CTF坑--phpinfo~(二)

曾经学过文件包含,但是没有运用过,今天刚刚好遇到CTF内容为文件包含,可以实践一下来,访问IP:http://106.75.86.18:8888 初步查看URL:http://106.75.86.18:8888/index.php?path=phpinfo.php,path这是文件包...

2018-01-19 10:32:16

阅读数 1269

评论数 0

原创 那些年踏过的CTF坑--VID~(一)!

在i春秋的线下培训基地–Web安全就业班CTF比赛中我遇到了这样一些坑:今天列出来给各位看光瞧瞧: 网站IP 我们先访问目标网站:http://106.75.26.211:1111/ 一句很和谐的话告诉我们这里没有任何东西,但是实际上呢?我们看看网页源代码: ...

2018-01-17 19:58:50

阅读数 280

评论数 2

原创 XSS利用方式

前言 学习XSS注入很久了,XSS主要的情况三分天下:反射型、存储型、DOM型;今天要研究的是XSS的利用,曾经有人问我XSS怎么利用的,我也只知道XSS在网页中嵌入代码,获取目标IP、Cookie,但是从来没有实践过,今天浏览FreeBuf时,发现一篇XSS利用文章,哈哈哈……于是乎,实...

2018-01-16 16:54:06

阅读数 3131

评论数 0

原创 Python编程(一)--爬虫爬取图片

python 爬虫

2018-01-11 21:38:25

阅读数 375

评论数 1

原创 ARP基础

ARP 断网攻击 获取密码……

2018-01-11 18:11:04

阅读数 122

评论数 0

原创 提权原理及过程(二)

mof提权原理、UDF提权、反弹提权

2018-01-11 18:06:53

阅读数 902

评论数 0

原创 代码审计方法与步骤

代码审计方法与步骤网站审计要点

2018-01-09 10:39:59

阅读数 1965

评论数 0

提示
确定要删除当前文章?
取消 删除